Politique de formation, de sensibilisation et de compétence en matière de vie privée

La Politique de formation, de sensibilisation et de compétence en matière de vie privée définit la manière dont une organisation gère la formation à la vie privée au sein de son système de management des informations relatives à la vie privée. Son objet est de veiller à ce que les personnes dont le travail a une incidence sur le traitement des données à caractère personnel comprennent leurs responsabilités, suivent la formation selon une cadence définie, maintiennent une compétence pertinente au regard de leur rôle et produisent des éléments de preuve auditables de formation, de sensibilisation et d’escalade. La politique s’applique aux contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur, ce qui la rend pertinente pour les organisations qui traitent directement des données à caractère personnel ainsi que pour celles qui agissent sur instructions du client ou dans le cadre de dispositifs de traitement avec des tiers. Le champ d’application est volontairement large et opérationnel. Il s’applique au personnel, aux contractants, au personnel temporaire, aux tiers concernés, aux sous-traitants, aux sous-traitants ultérieurs et aux autres parties intéressées dont le travail peut avoir une incidence sur le traitement des données à caractère personnel, les droits des personnes concernées, le risque relatif à la vie privée, la sécurité de l’information liée aux données à caractère personnel, les instructions du sous-traitant, les incidents relatifs à la vie privée, les informations documentées ou les éléments de preuve de conformité. La politique couvre l’identification du public cible de la formation à la vie privée, la formation d’intégration, la formation de rappel annuelle, la formation basée sur les rôles et la formation déclenchée par un événement, les éléments de preuve d’achèvement de formation, l’escalade en cas de non-achèvement, la revue de l’efficacité de la formation et les éléments de preuve d’assurance de formation des sous-traitants, sous-traitants ultérieurs et tiers. Un élément central de la politique est son modèle d’éléments de preuve. Elle précise qu’aucune matrice de formation, aucun tableau de bord, aucun registre de compétences, aucun registre disciplinaire ni aucun registre de formation client distinct n’est créé. Les attributions de formation, les achèvements, les rappels, les éléments de preuve de compétence et les éléments de preuve de sensibilisation sont enregistrés dans REG11. Les exceptions, les escalades, les non-conformités, les actions correctives et les éléments de preuve de revue sont enregistrés dans REG12. Les éléments de preuve d’assurance de formation des sous-traitants, sous-traitants ultérieurs et tiers sont enregistrés dans REG08 lorsque cela est pertinent, tandis que les enseignements tirés des incidents peuvent être reliés via REG10. Cette approche contribue à maintenir la traçabilité de la formation à la vie privée sans dupliquer les registres ni créer de charge administrative inutile. La politique établit des cadences et déclencheurs de formation spécifiques. La formation de base de sensibilisation à la vie privée doit être attribuée dans les 10 jours ouvrés suivant l’intégration pour le personnel ayant accès aux données à caractère personnel ou assumant des responsabilités liées au PIMS, et le personnel doit achever la formation à la vie privée d’intégration avant l’approbation d’un accès non supervisé aux données à caractère personnel ou dans les 30 jours suivant l’intégration, selon la première échéance. La formation de rappel annuelle à la vie privée doit être attribuée au moins une fois tous les 12 mois. Une formation de rappel ciblée est requise dans les 30 jours suivant une modification substantielle de la politique de vie privée, une modification substantielle d’un processus PIMS, un constat d’audit, un échec récurrent de formation ou un enseignement pertinent tiré d’un incident relatif aux données à caractère personnel. Une formation basée sur les rôles est également requise avant que le personnel n’assume des responsabilités concernant la base légale, les mentions d’information, le consentement, les droits des personnes concernées, les DPIA, la conservation, le partage, les transferts internationaux, l’accès à privilèges, l’administration de la sécurité, la journalisation, la surveillance ou le support aux incidents. La gouvernance et l’application de la politique sont intégrées au moyen de responsabilités définies, de la surveillance et de l’escalade. Le responsable de la protection des données / responsable du PIMS tient à jour le contenu de formation, les attributions, les éléments de preuve d’achèvement, les accusés de réception et les éléments de preuve de l’efficacité. Les responsables de processus soutiennent l’achèvement pour le personnel placé sous leur responsabilité, les propriétaires de systèmes vérifient la formation avant d’approuver l’accès à privilèges ou l’accès à des systèmes de données à caractère personnel à fort impact, et les responsables fournisseurs / achats tiennent à jour les éléments de preuve de formation ou d’assurance équivalente pour les fournisseurs, les sous-traitants, les sous-traitants ultérieurs et les membres du personnel externe. La politique exige une revue trimestrielle de l’achèvement, des formations en retard, des attributions basées sur les rôles et des exceptions, avec signalement des lacunes non résolues en matière d’éléments de preuve avant la revue de direction. Les réviseurs de l’audit interne / conformité échantillonnent les éléments de preuve REG11 et REG12 conformément au plan d’audit approuvé, ce qui soutient l’amélioration continue et la responsabilité compatible avec les exigences de certification.