Politique d’appréciation des risques relatifs à la vie privée et de DPIA

La Politique d’appréciation des risques relatifs à la vie privée et de DPIA définit la manière dont une organisation identifie, apprécie, traite, approuve, revoit et documente les risques relatifs à la vie privée dans le domaine d’application du PIMS. Son objet est de veiller à ce que les risques relatifs à la vie privée et les obligations de DPIA soient traités avant que le traitement de données à caractère personnel ne crée un risque inacceptable pour les personnes concernées ou pour le PIMS. La politique s’applique aux activités de traitement de données à caractère personnel nouvelles et substantiellement modifiées dans les contextes de responsable du traitement, responsable conjoint du traitement, sous-traitant et sous-traitant ultérieur. Elle couvre également les systèmes, applications, services, processus opérationnels, fournisseurs, sous-traitants, sous-traitants ultérieurs, transferts internationaux et dispositifs de partage de données qui affectent le traitement de données à caractère personnel. Un élément central de la politique est son modèle opérationnel fondé sur REG04. L’examen préalable des risques relatifs à la vie privée, l’examen préalable à la DPIA, l’appréciation des risques, les plans de traitement des risques, l’acceptation du risque résiduel, les décisions de consultation, les approbations et le statut de revue sont documentés dans REG04, avec des éléments de preuve de support liés à REG02, REG03, REG08, REG09, REG10, REG11 et REG12. La politique évite expressément la création de registres DPIA, de registres de risques ou de registres de consultation distincts en dehors de REG04. Cette approche permet de préserver une piste unique d’éléments de preuve pour les résultats d’examen préalable, les décisions de DPIA complète, les cotations du risque, les propriétaires du traitement, les dates d’échéance, le risque résiduel, le statut d’approbation et les dates de revue. La politique fixe des déclencheurs obligatoires pour l’examen préalable des risques relatifs à la vie privée et la détermination de la nécessité d’une DPIA complète. Les responsables de processus / propriétaires de l’entreprise doivent lancer l’examen préalable REG04 avant le début d’un traitement nouveau ou substantiellement modifié enregistré dans REG02. Tout traitement réalisé par le responsable du traitement et susceptible d’engendrer un risque élevé exige une DPIA complète avant le début du traitement. La politique vise notamment les traitements à grande échelle, une surveillance systématique, du profilage, des décisions automatisées, des catégories particulières de données à caractère personnel, des données relatives à des condamnations pénales ou à des infractions, des personnes concernées vulnérables, une technologie innovante et une modification substantielle du traitement, qui doivent être soumis au responsable de la protection des données / responsable du PIMS avant le début du traitement. Elle exige également un nouvel examen préalable avant l’utilisation de données à caractère personnel pour une nouvelle finalité, l’ajout d’un nouveau destinataire, l’introduction d’un nouveau sous-traitant ou sous-traitant ultérieur, la modification de l’architecture du système ou le lancement d’un nouveau transfert international. Le traitement des risques et l’escalade sont également clairement définis. Lorsque le risque relatif à la vie privée dépasse le seuil d’acceptation approuvé, le responsable de processus / propriétaire de l’entreprise doit enregistrer un plan de traitement des risques dans REG04 avant la poursuite du traitement. Les actions relatives à la sécurité, à la conception des systèmes, aux fournisseurs, aux obligations contractuelles et à l’assurance sont attribuées au rôle compétent et doivent être mises en œuvre avant la mise en production, l’intégration, le renouvellement ou la date d’échéance approuvée. Le risque résiduel élevé relatif à la vie privée pour un traitement réalisé par le responsable du traitement exige l’approbation du Top Management avant que le traitement ne commence ou ne se poursuive. Lorsqu’un risque résiduel élevé demeure après traitement, le responsable de la protection des données / responsable du PIMS enregistre la décision de consultation préalable dans REG04, et le Top Management approuve les actions de poursuite, de suspension, de refonte ou de consultation avant la poursuite du traitement. Les exigences de gouvernance, de surveillance et de mise en application garantissent que le processus demeure actif après l’approbation initiale. Le responsable de la protection des données / responsable du PIMS revoit mensuellement les risques relatifs à la vie privée ouverts et les actions de traitement en retard, rend compte trimestriellement du statut des risques relatifs à la vie privée et des DPIA ainsi qu’avant la revue de direction, et rapproche les enregistrements de risques actifs dans REG04 avec les enregistrements de l’inventaire des traitements dans REG02. La politique définit des indicateurs portant sur la couverture de l’examen préalable, les DPIA complètes actives, les revues en retard, les risques résiduels élevés, le statut des actions de traitement, le délai moyen de clôture, les actions fournisseurs, les actions de traitement de sécurité, la réévaluation déclenchée par un incident et les constats d’audit. Les exceptions doivent être demandées avant tout écart, appréciées au regard de leurs impacts sur la protection des données, les aspects juridiques, la certification, les opérations et les personnes concernées, et assorties d’une date d’expiration ne dépassant pas 90 jours. Les éléments de preuve REG04 manquants, inexacts, incomplets, en retard ou non approuvés sont traités comme une non-conformité dans REG12.