Politique relative au système de management des informations relatives à la vie privée

La Politique relative au système de management des informations relatives à la vie privée établit le PIMS de l’organisation pour le traitement des informations personnellement identifiables dans des contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur. Son objet déclaré est de définir les exigences de gouvernance obligatoires pour établir, mettre en œuvre, maintenir, surveiller et améliorer en continu le PIMS. La politique est conçue pour soutenir une gestion responsable, fondée sur les risques et sur les éléments de preuve du traitement des données à caractère personnel dans l’ensemble des rôles PIMS applicables. Elle couvre le domaine d’application du PIMS, le contexte organisationnel, les parties intéressées, les limites, la détermination des rôles, la politique de protection des données, les objectifs de protection des données, l’appréciation des risques relatifs à la vie privée, le traitement des risques relatifs à la vie privée, la Déclaration d’applicabilité du PIMS, la gouvernance, la surveillance, l’audit interne, la revue de direction, la non-conformité, les actions correctives et les éléments de preuve documentés nécessaires pour démontrer la conformité et la responsabilité. Un élément central de la politique est l’accent mis sur une responsabilité définie. Le Top Management doit approuver le domaine d’application du PIMS dans REG01 avant la mise en œuvre initiale et dans les 30 jours suivant toute modification substantielle, approuver la politique et les objectifs du PIMS dans REG12 chaque année, et examiner la performance, les risques ouverts, les non-conformités, les actions correctives et les décisions d’amélioration lors de la revue de direction. Le Responsable de la protection des données / responsable du PIMS maintient les enregistrements principaux du PIMS, notamment les questions de contexte, les parties intéressées, les objectifs, la Déclaration d’applicabilité, les décisions de traitement des risques, l’index des éléments de preuve, les indicateurs, les exceptions, les actions correctives et les enregistrements de revue de la politique. Les responsables de processus classifient le rôle PIMS de l’organisation pour chaque activité de traitement des données à caractère personnel avant le début du traitement, tandis que les responsables des fournisseurs / des achats documentent la répartition des responsabilités du responsable conjoint du traitement, les instructions de traitement du client, les dispositifs de sous-traitance ultérieure approuvés, la gouvernance des fournisseurs et les processus pertinents pour le PIMS fournis par des tiers. La politique relie la gouvernance du PIMS au contrôle opérationnel. L’appréciation des risques relatifs à la vie privée doit être lancée avant le début de tout traitement nouveau ou substantiellement modifié de données à caractère personnel, et la nécessité d’une DPIA doit être déterminée avant la poursuite d’un traitement de responsable du traitement à haut risque ou substantiellement modifié. Les décisions approuvées de traitement des risques relatifs à la vie privée sont enregistrées avant la mise en œuvre du traitement des risques, et les propriétaires de systèmes doivent confirmer les contrôles opérationnels du PIMS avant la mise en production des systèmes traitant des données à caractère personnel. Le Responsable de la sécurité de l’information est chargé de documenter le référentiel minimal de contrôles de sécurité applicable aux données à caractère personnel et de maintenir le statut de mise en œuvre des contrôles de sécurité, en reliant la gouvernance de la protection des données au référentiel minimal de sécurité des données à caractère personnel et à la Déclaration d’applicabilité. Cette structure contribue à maintenir l’alignement entre le domaine d’application, les activités de traitement, l’applicabilité des contrôles, les arrangements fournisseurs et les enregistrements de risques avant la revue de direction et les changements liés à la certification. La politique définit également les exigences d’auditabilité et d’amélioration continue. Le Responsable de la protection des données / responsable du PIMS doit maintenir un index des éléments de preuve du PIMS avant chaque audit interne, conserver les informations documentées conformément aux exigences de conservation des éléments de preuve, maintenir des indicateurs de performance chaque trimestre et rendre compte du statut des objectifs avant la revue de direction. L’ensemble minimal de mesures comprend le pourcentage d’activités de traitement dans le périmètre disposant d’une classification de rôle à jour, le pourcentage de contrôles applicables dont le statut de mise en œuvre est à jour, les non-conformités ouvertes et les actions correctives en retard, ainsi que les appréciations des risques relatifs à la vie privée en attente d’approbation. Les réviseurs d’audit interne / de conformité doivent rendre compte des résultats de la revue dans un délai de 15 jours ouvrés, échantillonner l’exhaustivité des éléments de preuve lors des audits internes, vérifier les éléments de preuve de clôture des exceptions expirées et vérifier l’efficacité des actions correctives dans les 30 jours suivant la clôture signalée. Les exceptions, l’application de la politique et la maintenance sont traitées comme des processus PIMS formels plutôt que comme des écarts informels. Les exceptions demandées doivent être documentées avant que l’écart ne se produise, évaluées au regard des risques relatifs à la vie privée avant approbation, et revues trimestriellement jusqu’à leur clôture. Les exceptions qui dépassent les seuils acceptés de risque relatif à la vie privée nécessitent l’approbation du Top Management avant leur mise en œuvre. Les non-conformités suspectées doivent être enregistrées dans un délai de cinq jours ouvrés, les actions correctives majeures en retard doivent être remontées au Top Management, et les non-conformités majeures non résolues doivent être examinées à chaque revue de direction. La politique elle-même fait l’objet d’une revue annuelle et dans les 30 jours suivant toute modification substantielle d’ordre juridique, organisationnel, technologique, de traitement ou de périmètre de certification, les modifications approuvées étant communiquées dans REG11 dans les 30 jours suivant leur publication.