Politique de protection de la vie privée dès la conception et par défaut

La Politique de protection de la vie privée dès la conception et par défaut définit la manière dont les exigences relatives à la vie privée doivent être intégrées dans les activités de traitement de données à caractère personnel nouvelles et modifiées au sein du domaine d’application du PIMS. Elle s’applique aux projets, produits, services, systèmes, applications, intégrations, activités d’approvisionnement et changements de processus opérationnels. La politique est rédigée pour les contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur, y compris les situations dans lesquelles l’organisation conçoit, configure, modifie ou exploite un traitement pour le compte d’un client, d’un responsable du traitement ou d’un sous-traitant en amont selon des instructions documentées. Son objet principal est de garantir que les exigences relatives à la vie privée sont identifiées, mises en œuvre et étayées par des éléments de preuve avant que le traitement de données à caractère personnel ne commence ou ne fasse l’objet d’une modification substantielle. La politique met particulièrement l’accent sur la finalité, la nécessité, la minimisation et les paramètres par défaut protecteurs de la vie privée. Les responsables de processus et les responsables métier doivent documenter les catégories minimales de données à caractère personnel, les catégories de personnes concernées, les sources et les finalités dans REG02 et REG04 avant l’approbation de la conception de la collecte ou de l’import. Les propriétaires de systèmes et propriétaires d’applications doivent configurer les paramètres de traitement par défaut au niveau minimal de collecte et de traitement de données à caractère personnel nécessaire à la finalité documentée, et doivent enregistrer les éléments de preuve dans REG04 avant la mise en production. Les champs facultatifs de données à caractère personnel, les choix de traitement facultatifs, les paramètres désactivés par défaut, les paramètres d’exposition des vues et rapports, ainsi que le traitement des fichiers temporaires, caches, journaux ou enregistrements de préproduction sont tous traités comme des obligations de protection de la vie privée au stade de la conception, et non comme des corrections opérationnelles a posteriori. L’articulation avec l’appréciation des risques relatifs à la vie privée et la DPIA est intégrée au processus de conception sans remplacer la méthodologie distincte définie dans PII07. Le responsable de la protection des données / responsable du PIMS doit confirmer que l’appréciation des risques relatifs à la vie privée et l’examen préalable à la DPIA sont enregistrés dans REG04 avant l’approbation de la conception pour tout traitement de données à caractère personnel nouveau ou substantiellement modifié. Les actions de traitement de la conception relative à la vie privée, leurs responsables et leurs dates d’échéance doivent être enregistrés avant la clôture de la revue, et les éléments de preuve de mise en œuvre doivent être capturés avant la mise en production. Pour les traitements en tant que responsable du traitement à haut risque ou substantiellement modifiés, la politique exige également un contrôle de conception relative à la vie privée après mise en œuvre dans REG04 dans les 30 jours calendaires suivant la mise en production. Lorsque des points de conception sont manquants, inefficaces, en retard ou contournés, une action corrective est ouverte dans REG12. La politique étend également la protection de la vie privée dès la conception à l’approvisionnement et aux relations avec les tiers. Les responsables fournisseurs et achats doivent enregistrer les exigences de protection de la vie privée dès la conception applicables aux fournisseurs, sous-traitants, sous-traitants ultérieurs, services SaaS, plateformes ou systèmes hébergés en externe dans REG08 avant l’approbation de l’approvisionnement. La nécessité de données à caractère personnel pour les tiers, la finalité et les catégories minimales de données à caractère personnel doivent être documentées avant tout traitement externe, partage de données ou approbation d’approvisionnement. Le support du fournisseur relatif aux paramètres par défaut de protection de la vie privée, à la minimisation et aux besoins de configuration client doit être enregistré avant l’intégration, tandis que les lacunes des fournisseurs non résolues en matière de conception relative à la vie privée sont escaladées vers REG12 dans un délai de cinq jours ouvrés et avant la signature du contrat. La gouvernance, la surveillance, la mise en application et la maintenance sont définies au moyen d’éléments de preuve récurrents et de cycles de revue. Le responsable de la protection des données / responsable du PIMS soumet des synthèses trimestrielles du statut de la conception relative à la vie privée dans REG12, calcule les indicateurs d’achèvement et d’actions en retard, et vérifie que les éléments de preuve de conception restent consolidés dans REG02, REG04, REG08 et REG12 avant l’audit interne. Le Top Management examine les exceptions à fort impact, les décisions de mise en production bloquées et les constats récurrents lors de la revue de direction. Les dispositions de mise en application exigent d’empêcher la mise en production lorsque la revue REG04 est incomplète, d’empêcher l’intégration lorsque les éléments de preuve REG08 sont absents, et de suspendre tout traitement de données à caractère personnel nouveau ou modifié jusqu’à l’achèvement de la revue REG04, des mises à jour REG02 et des exceptions REG12 requises.