Politique relative aux rôles, responsabilités et à la responsabilité du PIMS en matière de protection des données

La Politique relative aux rôles, responsabilités et à la responsabilité du PIMS en matière de protection des données définit la manière dont l’organisation attribue, documente, communique, revoit et améliore les responsabilités au sein de son système de management des informations relatives à la vie privée. Son champ d’application couvre le personnel, les fonctions, les systèmes, les fournisseurs, les sous-traitants, les sous-traitants ultérieurs et les relations de responsable conjoint du traitement qui participent au traitement de données à caractère personnel dans le domaine d’application du PIMS ou l’influencent. La politique s’applique aux contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur, ce qui la rend pertinente pour l’ensemble des modèles opérationnels de protection des données décrits dans le document. Elle précise également qu’elle ne crée pas de nouveaux intitulés de poste organisationnels ; elle définit plutôt des rôles canoniques du PIMS qui peuvent être attribués à du personnel ou à des fonctions existants lorsque les exigences requises d’attribution, de compétence, d’indépendance et de conflit d’intérêts sont documentées. La politique établit un modèle structuré de rôles du PIMS et une approche de la responsabilité fondée sur les éléments de preuve. Le Top Management doit approuver le modèle canonique de rôles dans REG01 avant la mise en œuvre initiale, puis chaque année. Le responsable de la protection des données / responsable du PIMS tient à jour les attributions nominatives de rôles, les périmètres de responsabilité et les niveaux d’autorité dans REG01, y compris les mises à jour faisant suite à des changements de personnel ou d’organisation. La propriété des traitements est liée à REG02, où les responsables de processus / propriétaires de l’entreprise attribuent des responsables désignés pour chaque activité de traitement de données à caractère personnel avant le début du traitement, et où les propriétaires de systèmes / propriétaires d’applications documentent les propriétaires de systèmes responsables avant la mise en production. La propriété des relations avec les fournisseurs, les sous-traitants, les sous-traitants ultérieurs, le partage de données avec des tiers et les responsables conjoints du traitement est enregistrée dans REG08 avant l’intégration ou l’approbation de l’accord. Une partie centrale de la politique porte sur la gestion du cumul de rôles, de la séparation des tâches et de l’indépendance. La politique autorise le cumul de rôles à des fins pratiques, y compris pour les petites et moyennes organisations, mais exige une documentation avant que les cumuls ne prennent effet. Les cumuls de rôles impliquant le responsable de la protection des données / responsable du PIMS, le délégué à la protection des données / conseiller en protection des données, le responsable de la sécurité de l’information, le coordinateur de la réponse aux incidents ou le réviseur d’audit interne / conformité nécessitent l’approbation du Top Management dans REG01. Le réviseur d’audit interne / conformité doit documenter son indépendance par rapport au processus PIMS revu dans REG12 avant chaque audit ou revue de conformité. Lorsque les conflits de séparation des tâches ne peuvent être évités, des contrôles compensatoires doivent être enregistrés, et le délégué à la protection des données / conseiller en protection des données doit consigner les préoccupations relatives à l’indépendance ou aux conflits d’intérêts dans un délai de cinq jours ouvrés à compter de leur identification. La politique définit également la responsabilité dans les contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur. Le traitement par le responsable du traitement nécessite l’enregistrement de la propriété des responsabilités, de la propriété des finalités et de la propriété des éléments de preuve dans REG02 avant le début du traitement. La répartition des responsabilités entre responsables conjoints du traitement, la propriété des instructions du client pour le sous-traitant, la propriété de la supervision des sous-traitants ultérieurs, le statut d’approbation et les circuits d’escalade des responsabilités des tiers sont gérés dans REG08. Le responsable de la protection des données / responsable du PIMS vérifie trimestriellement les enregistrements de classification des rôles dans REG02 et REG08, ainsi que dans les 15 jours ouvrés suivant toute modification substantielle. La politique exige en outre que les conseils en matière de protection des données, les contributions relatives à la responsabilité de la sécurité des données à caractère personnel, la responsabilité d’escalade des violations et incidents relatifs aux données à caractère personnel, les différends non résolus relatifs aux responsabilités et les escalades liées aux rôles soient documentés dans des éléments de preuve définis. La gouvernance, les mesures, les exceptions, la mise en application et la maintenance sont intégrées au modèle de responsabilité. Le Top Management revoit l’exhaustivité, les rôles non pourvus, les conflits de rôles, les exceptions de responsabilité et les indicateurs lors de la revue de direction. Le responsable de la protection des données / responsable du PIMS réalise des revues trimestrielles de la responsabilité, suit les rôles non pourvus et les rôles cumulés, rend compte de l’achèvement de la sensibilisation aux rôles, gère les exceptions avec des limites d’expiration définies et consigne les attributions manquantes, inexactes ou obsolètes comme des non-conformités. Les responsables de processus / propriétaires de l’entreprise doivent empêcher la mise en production de tout traitement de données à caractère personnel nouveau ou modifié lorsque les éléments de preuve requis relatifs aux rôles et à la responsabilité sont absents. Les réviseurs d’audit interne / conformité testent les éléments de preuve relatifs aux rôles, signalent les constats et vérifient l’efficacité des actions correctives. La politique elle-même doit faire l’objet d’une revue annuelle et dans les 30 jours suivant toute modification substantielle du modèle de rôles du PIMS.