Un organisme doit non seulement traiter les données personnelles conformément au règlement général sur la protection des données, mais elle doit également être en mesure de démontrer sa conformité. Cela inclut la mise en œuvre de la protection des données dès la conception, la tenue d’un registre des activités de traitement et, dans certaines circonstances, la réalisation d’une analyse d’impact sur la protection des données.
Protection des données dès la conception et par défaut
En tant que responsable du traitement, lorsque vous mettez en place une activité de traitement et tout au long de celle-ci, vous devez mettre en œuvre des mesures et des garanties appropriées pour vous assurer que les principes de protection des données sont respectés. Vous devez également vous assurer que, par défaut, seules les données personnelles nécessaires à chaque finalité spécifique sont traitées (cela s’applique à la quantité de données, à l’étendue du traitement, à la limitation de conservation et à leur accessibilité).
En d’autres termes, un organisme qui applique la protection des données dès la conception et par défaut est un organisme qui considère et intègre la protection des données et la vie privée des individus dans tous les aspects, et à chaque étape de ses activités de traitement, dans les outils utilisés ou toute autre activité commerciale.
Pour ce faire, avant de mettre en place des opérations de traitement, votre organisme doit prendre en compte:
- la nature, le contexte et la portée de l’opération de traitement envisagée;
- les risques qui peuvent découler des activités de traitement envisagées ou de toute autre activité commerciale susceptible d’avoir une incidence sur les données personnelles des personnes physiques;
- les mesures techniques et organisationnelles qui devraient être mises en place pour atténuer les risques recensés et, ce faisant, veiller à ce que les données personnelles des personnes soient correctement protégées;
- les mesures ou procédures techniques et organisationnelles à mettre en place pour garantir que le traitement des données personnelles (notamment la collecte, la conservation et l’utilisation en général des données des personnes physiques) se limite à ce qui est nécessaire à la lumière des objectifs poursuivis.
Dans la pratique
- Une librairie veut augmenter ses revenus en vendant des livres en ligne. Le propriétaire de la librairie souhaite mettre en place un formulaire standardisé pour le processus de commande. En premier lieu, le propriétaire rend obligatoire tous les champs du formulaire, y compris la date de naissance, le numéro de téléphone et l’adresse de domicile du client. Cependant, tous les champs du formulaire ne sont pas nécessaires à la vente et à la livraison des livres.
Par exemple, lors de la commande d’un livre électronique, le client peut télécharger le produit directement sur son appareil. En tant que tel, ces champs ne peuvent pas être obligatoires dans le formulaire Web pour commander des livres. Le propriétaire de la boutique en ligne décide donc de faire deux formulaires web : un pour commander des livres, avec un champ pour l’adresse du client et un formulaire web pour commander des livres électroniques sans champ pour l’adresse du client. Ce faisant, le propriétaire s’assure que seules les données nécessaires au traitement sont collectées. - Un cabinet médical employant plusieurs médecins collecte des données sur ses patients dans son système d’information organisationnel. Les différents médecins peuvent avoir besoin d’accéder aux dossiers des patients, par exemple lorsqu’ils remplacent un autre médecin absent, pour informer leurs décisions concernant les soins et le traitement des patients, et pour la documentation de toutes les mesures de diagnostic, de soins et de traitement prises. Par défaut, l’accès n’est accordé qu’aux médecins affectés au traitement du patient concerné.
Il est utile de tenir des registres de ces évaluations et mesures pour être en mesure de démontrer que vous respectez les principes de protection des données dès la conception et par défaut. Un mécanisme de certification approuvé peut également être utilisé comme élément pour démontrer la conformité à la protection des données dès la conception et par défaut.
Obligation de tenir un registre des traitements de données
En tant qu’organisme, vous devez tenir un registre de vos activités de traitement des données. Celui-ci doit être conservé par écrit, par exemple sous forme électronique.
Cet enregistrement vous donne un aperçu de vos activités de traitement. Afin de créer un tel enregistrement, vous devez identifier laquelle de vos activités nécessite un traitement de données à caractère personnel (par exemple, le recrutement, la gestion de la paie, la formation, la gestion des badges et des accès, la liste des clients potentiels, etc.). Chacune de ces opérations de traitement doit être décrite dans le dossier avec les informations suivantes:
- la finalité du traitement (par exemple, la fidélité du client);
- les catégories de données traitées (par exemple, pour le suivi de la paie : nom, prénom, date de naissance, salaire, etc.);
- qui a accès aux données (les destinataires, par exemple : le service en charge du recrutement, du service informatique, de la direction, des prestataires de services, des partenaires...);
- le cas échéant, les informations relatives aux transferts de données personnelles en dehors de l’Espace économique européen (EEE);
- dans la mesure du possible, la durée de conservation (la durée pendant laquelle les données sont utiles d’un point de vue opérationnel et pour archivage);
- dans la mesure du possible, une description générale des mesures de sécurité.
Le registre des activités de traitement relève de la responsabilité du gestionnaire de votre organisme. Cet enregistrement doit être mis à la disposition de l’autorité de protection des données du pays de l’EEE où vous exercez vos activités, sur demande.
Il n’est pas nécessaire que les organisme employant moins de 250 personnes mentionnent des activités purement occasionnelles dans leur dossier (par exemple, les données traitées pour des évènements ponctuels tels que l’ouverture d’un magasin).
En savoir plus
Groupe de travail Article 29 : document de prise de position sur les dérogations à l’obligation de tenir des registres des activités de traitement (approuvé par le comité européen de la protection des données)
Espace presse de la Commission européenne
Comment réaliser une analyse d’impact sur la protection des données (AIPD) ?
Qu’est-ce qu’une AIPD ?
Lorsqu’un traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes, le responsable du traitement doit effectuer une analyse d’impact sur la protection des données (AIPD). Une AIPD est une évaluation écrite d’une opération de traitement planifiée. Il vous aide à identifier les mesures de protection appropriées pour limiter les risques et démontrer votre conformité.
Quand faire une AIPD?
S’il est toujours préférable d’anticiper l’impact des opérations de traitement planifiées de votre organisme en effectuant une AIPD, il est obligatoire d’en effectuer une lorsque le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des individus.
En particulier, c’est le cas lorsque le traitement envisagé implique:
- le traitement — à grande échelle — de données à personnelles sensibles et de données relatives aux condamnations pénales;
- une évaluation systématique et approfondie des aspects personnels d’une personne fondée sur un traitement automatisé, y compris le profilage, et sur laquelle sont fondées les décisions qui produisent des effets juridiques à l’égard de la personne concernée ou qui affectent de manière similaire les personnes;
- la surveillance systématique d’une zone accessible au public à grande échelle.
Dans la plupart des cas, les opérations de traitement répondant à deux des critères suivants devraient être évaluées au moyen d’une AIPD:
- évaluation ou notation;
- prise de décision automatisée ayant un effet juridique ou similaire significatif;
- suivi systématique;
- données sensibles ou à caractère hautement personnel;
- données traitées à grande échelle;
- mise en correspondance ou combinaison d’ensembles de données;
- données concernant les personnes concernées vulnérables;
- utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles;
- Lorsque le traitement en soi empêche les particuliers d’exercer un droit, d’utiliser un service ou de souscrire un contrat.
Dois-je effectuer une AIPD ?
Répondez aux questions à travers notre logigramme interactif pour le savoir !
Le traitement est-il susceptible d’engendrer des risques élevés ?
Des exceptions s’appliquent-elles ?
Exemples de cas où une AIPD peut ne pas être requise :
- le traitement envisagé est très similaire à un traitement qui a déjà fait l’objet d’une AIPD ;
- le type de traitement fait partie d’une éventuelle liste d’exemption que votre autorité de protection des données a adoptée ;
- le traitement est autorisé en vertu du droit de l’UE ou du droit national.
Dois-je effectuer une AIPD?
Oui, vous devez réaliser l’AIPD
Reste-t-il risques élevés après l’AIPD ?
Dois-je effectuer une AIPD?
Aucune AIPD n’est nécessaire
Consultez votre autorité de protection des données
Il n’est pas nécessaire de consulter votre autorité de protection des données
Bonne pratique pour réaliser une AIPD
Vous devez contacter l’autorité de protection des données du pays de l’EEE dans lequel votre organisme est basé pour savoir si elle dispose d’un document accessible au public énumérant les conditions pour lesquelles les opérations de traitement nécessiteront une AIPD, et quelle opération de traitement n’aura pas besoin d’une AIPD.
Exemples de cas où une AIPD peut être requise:
- le traitement des données biométriques, par exemple la numérisation des empreintes digitales ou des caractéristiques faciales pour identifier les patients;
- utiliser les données des personnes vulnérables à des fins de marketing, par exemple pour prédire leurs achats;
- application mobile de suivi de l’emplacement de l’individu.
Exemples de cas où une AIPD peut ne pas être requise:
- le traitement envisagé est très similaire à un traitement qui a fait l’objet d’une AIPD;
- le traitement est inclus dans la liste facultative des opérations de traitement (établie par votre autorité nationale de protection des données) non soumise à une AIPD;
- le traitement est autorisé en vertu du droit de l’UE ou du droit national.
Que faut-il inclure dans une AIPD ?
Votre AIPD devrait inclure:
- une description de l’activité de traitement prévue et de sa finalité;
- une évaluation de la nécessité et de la proportionnalité;
- les risques que l’activité de traitement peut entraîner;
- les mesures prises face aux risques.
Consultation préalable lors d’une AIPD
Lorsque le responsable du traitement ne parvient pas à trouver des mesures suffisantes pour réduire les risques à un niveau acceptable (c’est-à-dire que les risques résiduels restent élevés), la consultation de l’autorité de protection des données est nécessaire. Dans ce cas, le responsable du traitement doit fournir les informations suivantes:
- les responsabilités respectives du responsable du traitement, des responsables conjoints du traitement et des sous-traitants impliqués dans le traitement;
- la finalité de l’opération de traitement et la manière dont celle-ci sera effectuée;
- les mesures envisagées pour protéger les données personnelles des personnes;
- les coordonnées du délégué à la protection des données de votre organisme, si vous en avez désigné un;
- L’AIPD en question.
Après une AIPD — Testez-la, améliorez-la, vérifiez-la !
Une fois votre AIPD rédigée, vous devez la tester; l’améliorer si nécessaire; mener votre activité de traitement; réévaluer si votre AIPD correspond à l’activité de traitement.
En savoir plus
Groupe de travail Article 29: Lignes directrices sur l’analyse d’impact sur la protection des données (AIPD)
Espace presse de la Commission européenne
Listes nationales des types d’opérations de traitement des données qui nécessitent ou non une évaluation d’impact sur la protection des données
Commission de protection des données, autorité de surveillance irlandaise
Codes de conduite
Selon l’endroit où votre organisme est situé dans l’EEE, il peut y avoir des associations ou d’autres organismes représentant les responsables du traitement des données ou les sous-traitants. Ces associations et organismes peuvent élaborer des codes de conduite, y compris des mécanismes de protection des données, auxquels les responsables du traitement et les sous-traitants peuvent adhérer afin de contribuer à ce que les données personnelles des personnes soient respectées conformément au RGPD.
Plus précisément, ces codes de conduite mis en place visent à garantir, par exemple:
- que les données personnelles sont traitées de manière équitable et transparente;
- que les finalités pour lesquelles les données personnelles des personnes sont traitées sont légitimes;
- comment pseudonymiser les données personnelles;
- que des informations transparentes soient communiquées aux personnes dont les données personnelles sont traitées;
- que le consentement au traitement des données des personnes physiques, en particulier des données personnelles relatives aux enfants, est demandé de manière appropriée;
- que toutes les mesures techniques et organisationnelles soient mises en place pour garantir la sécurité du traitement des données personnelles;
- que les procédures de notification des violations de données personnelles soient suivies;
- que les procédures, y compris les garanties, liées aux transferts de données personnelles vers des pays et organisations non membres de l’EEE soient suivies;
- que les procédures relatives aux procédures judiciaires et au règlement des différends soient suivies.
Bonne pratique
- Contactez l’association ou l’organisme compétent qui prépare les codes de conduite du RGPD : ceux-ci peuvent vous aider à respecter le RGPD.
Certification
Qu’est-ce qu’une certification RGPD ?
Un organisme qui obtient une certification RGPD peut utiliser cette certification pour démontrer la conformité de ses opérations de traitement avec le RGPD.
Les autorités de l’EEE chargées de la protection des données peuvent, par exemple:
- délivrer des certifications RGPD dans le cadre de son propre système de certification;
- délivrer elle-même les certifications RGPD dans le cadre de son propre système de certification, mais déléguer la totalité ou une partie du processus d’évaluation à des tiers;
- créer son propre système de certification et charger des organismes spécifiques de délivrer ces certifications;
- encourager le marché à développer des mécanismes de certification;
- évaluer les systèmes de certification des organismes de certification.
Un organisme de certification est chargé de délivrer, d’examiner et de retirer les certifications sur la base d’un mécanisme de certification et de critères approuvés.
Les organismes de certification doivent documenter leur évaluation des activités de traitement de votre organisme pour lesquelles une certification RGPD peut être délivrée.
Mon organisme a reçu une certification RGPD, et ensuite ?
La certification RGPD d’une activité de traitement que votre organisme effectue est valable pour une durée maximale de 3 ans. Elle peut être renouvelée ou révoquée. Pour conserver cette certification, votre organisme doit mettre en pratique en continu et de manière cohérente les mesures entourant l’activité de protection des données certifiée.