REGISTRE DES ACTIVITES DE TRAITEMENT DE DONNEES PERSONNELLES : Comment SE METTRE EN CONFORMITé ?
La nouvelle loi sur la protection des données (nLPD) en en vigueur le 1er septembre 2023. Elle est accompagnée d’une nouvelle Ordonnance sur la protection des données (OPdo).
Selon l’article 12, les entreprises qui emploient plus de 250 personnes doivent établir un registre. Celui-ci recense les différents types de données personnelles traitées.
Contenu du registre.
Ce registre doit contenir notamment les informations suivantes :
- identité du responsable de traitement
- finalité du traitement
- description des catégories de personnes concernées et des catégories de données personnelles traitées
- catégories de destinataires
- le délai de conservation ou les critères pour déterminer la durée de conservation
- les mesures de sécurité pour protéger les données
- les pays où sont stockées les données et les garanties de sécurité
Contenu du registre.
Ce registre doit contenir notamment les informations suivantes :
- identité du responsable de traitement
- finalité du traitement
- description des catégories de personnes concernées et des catégories de données personnelles traitées
- catégories de destinataires
- le délai de conservation ou les critères pour déterminer la durée de conservation
- les mesures de sécurité pour protéger les données
- les pays où sont stockées les données et les garanties de sécurité
Dans la pratique, comment s’y prendre, par où commencer ?
L’élaboration de ce registre nécessite d’impliquer tous les départements de votre organisation. En effet, chaque service de votre organisation traite certainement des données personnelles. C’est donc une approche transverse à l’ensemble de votre entreprise.
Ce registre ne contient pas les données elles-mêmes. Il contient les catégories de données. Par exemple, on mentionnera que l’on collecte par exemple les noms des participants à une formation, mais on n’indiquera pas les noms eux-mêmes dans le registre. Le registre des activités de traitement de données personnelles peut être comparé à l’inventaire des sections thématiques d’une bibliothèque. Mais sans le contenu des livres !
Etapes et communication
La première étape serait d’informer les responsables de département et/ou les pilotes de processus des nouveautés. Pour cela, vous pouvez utiliser les documents proposés par au niveau fédéral tel que ceux du site du Préposé fédéral à la protection des données
Ensuite, chaque responsable devrait alimenter ce registre. Il doit y enregistrer les données traitées dans son processus.
Dans la pratique l’élaboration du registre des activités de traitement implique de faire des relations avec les autres éléments de votre organisation. Par exemple, les systèmes d’informations utilisés pour stocker les données, la liste des départements, les processus concernés, la liste des responsables de traitement, etc. Sans outil adapté (avec un simple tableur type Excel), cela peut devenir complexe à documenter.
Utiliser un outil adapté
C’est pourquoi nous avons développé le module « Data Management » dans SIRIS+. Il vous permet d’élaborer facilement votre registre. Et de l’intégrer avec les processus, les département de votre organisation.
Avez-vous besoin d’un accompagnement court, efficace et pragmatique pour vous aider à vous mettre en conformité ? Vous pouvez nous contacter en utilisant le formulaire ci-dessous.
