Politique relative aux mentions d’information et à la transparence

La Politique relative aux mentions d’information et à la transparence définit les exigences de l’organisation pour créer, approuver, publier, maintenir, revoir et étayer par des éléments de preuve les mentions d’information et les informations relatives à la transparence concernant le traitement des données à caractère personnel dans le domaine d’application du PIMS. Son objet déclaré est de veiller à ce que les personnes concernées reçoivent des « mentions d’information claires, à jour, accessibles et auditables avant le point requis du cycle de vie du traitement des données à caractère personnel, ou à ce point ». La politique s’applique au traitement réalisé par le responsable du traitement, aux informations relatives à la transparence du responsable conjoint du traitement, ainsi qu’à l’appui fourni par un sous-traitant ou un sous-traitant ultérieur aux obligations de mention d’information du responsable du traitement lorsque l’organisation agit sur la base d’instructions documentées du client ou du sous-traitant. Elle est placée sous la responsabilité du Responsable de la protection des données / responsable du PIMS, approuvée par Top Management, et utilise REG02, REG06, REG07, REG11 et REG12 comme éléments de preuve. Une caractéristique centrale de la politique est le contrôle du contenu des mentions d’information au moyen de REG07. La politique établit REG07 comme élément de preuve faisant autorité pour les enregistrements relatifs à l’inventaire des mentions d’information, à l’approbation, à la publication, à la revue, à la langue et à la gestion des versions. Pour le traitement réalisé par le responsable du traitement, les responsables de processus / responsables métier doivent créer un enregistrement REG07 de mention d’information lié à l’activité de traitement REG02 pertinente avant le lancement de tout nouveau canal de collecte de données à caractère personnel, service, formulaire, campagne, produit ou fonctionnalité. Lorsque les données à caractère personnel sont obtenues auprès d’une source autre que la personne concernée, l’enregistrement doit être créé avant la première communication, avant la première divulgation à un tiers, ou dans un délai de 20 jours ouvrés à compter de l’obtention des données à caractère personnel, selon l’échéance la plus proche. La politique exige également que les mentions soient liées aux finalités de traitement REG02 actuelles, aux références de base légale, aux catégories de données à caractère personnel, aux catégories de personnes concernées, aux catégories de sources, aux catégories de destinataires, aux références de conservation et aux références de transfert. La politique définit un cycle de vie structuré d’approbation et de publication. Les responsables de processus / responsables métier certifient l’exactitude et l’exhaustivité du contenu des mentions et soumettent l’enregistrement REG07 à l’approbation du Responsable de la protection des données / responsable du PIMS avant publication ou activation du canal de collecte. Le Responsable de la protection des données / responsable du PIMS vérifie la cohérence avec REG02 et approuve ou rejette la mention. Les propriétaires de systèmes / propriétaires d’applications ne peuvent publier que la version approuvée de la mention REG07 avant d’activer les canaux de collecte numériques, tandis que les responsables de processus / responsables métier doivent mettre les mentions approuvées à disposition par des canaux non numériques avant la collecte des données à caractère personnel. Les éléments de preuve de publication, y compris l’emplacement et l’horodatage ou une preuve équivalente, doivent être enregistrés dans REG07 dans un délai de deux jours ouvrés après publication. Si les éléments de preuve requis d’une mention approuvée sont absents, le nouveau canal de collecte du responsable du traitement ne doit pas être mis en production. La qualité de la transparence est encadrée par des contrôles portant sur la langue, l’accessibilité, les versions et les changements. La politique exige l’identification des publics cibles de personnes concernées et des versions linguistiques requises avant approbation. Elle exige des éléments de preuve dans REG07 attestant un langage clair et l’adéquation au public cible, des versions traduites ou localisées avant publication, ainsi qu’une parité de version entre les mentions de référence et les mentions localisées dans un délai de 10 jours ouvrés après une mise à jour substantielle. Les versions obsolètes des mentions doivent être supprimées, redirigées ou étiquetées dans un délai de cinq jours ouvrés après la publication de remplacement, tandis que les versions remplacées, les dates d’entrée en vigueur, les éléments de preuve d’approbation et les éléments de preuve de publication doivent être conservés dans REG07. Les modifications substantielles de l’identité du responsable du traitement, du point de contact, de la finalité de traitement, de la base légale, des catégories de données à caractère personnel, des catégories de destinataires, des références de conservation, des références de transfert, des canaux de demande d’exercice des droits, des canaux de réclamation ou de contact pour la protection des données, de la couverture linguistique, des canaux de publication ou du contexte de traitement déclenchent les contrôles de mise à jour des mentions. La politique comprend également des exigences de gouvernance, de mesure, d’exception, d’application et de maintenance. Les mentions REG07 actives sont revues au moins une fois par an et dans les 30 jours suivant toute modification substantielle légale, réglementaire, contractuelle ou de traitement. Les enregistrements REG07 des mentions sont rapprochés trimestriellement des finalités de traitement REG02, les incohérences non résolues étant enregistrées dans REG12. Les indicateurs comprennent le pourcentage de mentions actives liées aux finalités REG02 actuelles, les mentions revues avant la date d’échéance, les mises à jour en retard, les incohérences non résolues, les canaux de collecte bloqués ou retardés, les demandes d’appui aux mentions d’information des clients achevées dans les délais, ainsi que les mentions disposant d’éléments de preuve à jour concernant la langue, la version, l’approbation et la publication. Les exceptions doivent être enregistrées dans REG12 avant tout écart, avec avis requis en matière de protection des données et approbation de Top Management pour les exceptions spécifiées liées aux mentions. Les éléments de preuve de mention absents, inexacts, non publiés, non approuvés ou obsolètes sont enregistrés comme une non-conformité, et les mentions matériellement inexactes ou trompeuses font l’objet d’une escalade vers le Délégué à la protection des données / conseiller en protection des données et Top Management dans un délai de deux jours ouvrés après confirmation.