Guide du Registre des activités de traitement des données

Le Règlement général sur la protection des données (le Règlement (UE) 2016/679, couramment appelé RGPD) décrit les principes à respecter pour traiter les données personnelles en toute légalité (y compris les recueillir, les utiliser, les protéger ou interagir avec elles de façon générale). Il vise à renforcer la protection des données pour toutes les personnes dont les données personnelles relèvent de son champ d’application, afin de leur redonner le contrôle de leurs données personnelles.

En pratique, la satisfaction des exigences du RGPD peut représenter un défi technique. Cela est d’autant plus vrai en matière de gestion de la protection de la vie privée au niveau interne. Les responsables du traitement de données personnelles doivent être en mesure de décrire les données qu’ils collectent, les finalités de la collecte, les parties impliquées et d’autres informations pour l’ensemble de la société, y compris en ce qui concerne les données des employés.

Pour plus d’informations sur le contexte du RGPD, consultez notre guide complet sur le RGPD.

L’objectif de cet article est de vous guider pas à pas à travers notre Registre des activités de traitement des données au niveau interne.

Remarque : bien que le RGPD soit une raison courante de faire plus d’efforts en matière de gestion de la protection de la vie privée au niveau interne, notre registre n’est pas conçu exclusivement pour la mise en conformité avec le RGPD. Il peut également être utilisé à des fins générales de gestion de la protection de la vie privée au niveau interne, y compris par des sociétés qui n’ont pas d’utilisateurs ou de clients au sein de l’UE.

Poursuivez la lecture ou regardez le tutoriel complet.

Mon organisation doit-elle conserver un registre des activités de traitement, conformément au RGPD ? 

Le RGPD exige que les responsables du traitement et les sous-traitants tiennent un registre des activités de traitement. Ces documents doivent être consignés par écrit, y compris sous forme électronique. Le Registre des activités de traitement des données a été conçu spécifiquement pour les responsables du traitement et sous-traitants de respecter cette obligation.

Le registre des activités de traitement doit être rendu disponible aux autorités de contrôle, si celles-ci le demandent.

Que signifie le concept de domaine ?

Les domaines sont des groupes qui se caractérisent par des activités de traitement homogènes. Quelques exemples : votre site Web, votre application mobile, vos magasins physiques, vos employés, le recrutement, votre usine de fabrication, etc. Pour chaque domaine, vous pouvez ajouter une description du traitement des données, tout comme vous le faites probablement déjà avec notre générateur de politique de confidentialité ou notre générateur de conditions générales pour un site donné. En résumé, les domaines sont des reproductions de l’entité « site » connectées les unes aux autres, que vous pouvez créer à loisir.

Comment les membres et les rôles sont-ils définis ?

Au niveau du compte, vous pouvez ajouter des membres, que vous pouvez ensuite associer à un rôle particulier (tel que « responsable du traitement », « sous-traitant », etc.) ou un domaine précis.

Lors de l’association, vous pouvez choisir le rôle du membre parmi les suivants :

• Responsable du traitement : désigne toute personne physique ou morale qui participe à la définition des objectifs et des moyens du traitement des données à caractère personnel.
• Membre de l’organisation du responsable du traitement : consultez les exemples de la liste ci-dessous.
• Sous-traitant : désigne toute personne physique ou morale qui participe au traitement des données à caractère personnel pour le compte du responsable du traitement.
• Personne concernée (également appelée parfois utilisateur) : désigne une personne physique dont les données personnelles sont traitées par un responsable du traitement ou un sous-traitant.

Par exemple, sur Internet, une société peut recueillir des informations sur les utilisateurs par le biais de son site Web et les conserver à l’aide d’un service cloud tiers. Dans ce scénario, la société est le responsable du traitement et l’organisation qui met à disposition le service cloud est le sous-traitant.

Vous pouvez considérer ce répertoire comme un carnet d’adresses. Tous les propriétaires actuels sont également des membres.

Gardez à l’esprit que la configuration que vous définissez pour la section des membres du domaine est ensuite appliquée par défaut à chaque service.

Les membres suivants sont disponibles par défaut :

• Employés
• Utilisateurs
• Utilisateurs de l’UE
• Département marketing
• Département RH
• Département finance
• Département service client
• Département commercial
• Département R&D
• Département développement
• Département produit
• Département juridique
• Département relations publiques
• Service de renseignements

Comment puis-je configurer les services à l’aide des nouveaux champs ?

Votre politique de confidentialité doit être adaptée aux pratiques de collecte de données de votre site ou application. Pour cela, vous devez y ajouter des services.

Les services relèvent habituellement de deux catégories :

• les services liés à vos propres activités de collecte de données (p.ex. les formulaires de contact),
• les services liés aux activités de collecte de données réalisées par des tiers (p.ex. Google Analytics).

Pour déterminer quels services basiques vous devez ajouter à votre politique, posez-vous les questions suivantes :

• Quelles sont les données utilisateur que je recueille et par quels moyens sont-elles recueillies ?
  P.ex. un formulaire d’inscription à une newsletter, un formulaire de contact, un système de commentaire.
• Quels sont les services tiers que j’utilise sur mon site ou dans mon application ? Il est fort probable que ces services traitent également des données utilisateur d’une certaine manière et qu’ils doivent donc être inclus dans votre politique.

Dans la section suivante, nous passerons en revue les nouveaux champs que nous avons ajoutés pour vous faciliter la gestion de la protection de la vie privée au niveau interne. Ces champs se trouvent dans la fenêtre de personnalisation qui s’affiche lors de l’ajout d’un service. Nous procéderons étape par étape pour vous aider à choisir la meilleure option au vu de votre propre situation.

Label et Description

Ces deux champs vous sont proposés par simple commodité, pour vous permettre de décrire le service concerné. Par exemple, vous pourriez ajouter le label « centre de données ALL » et la description « centre de données de Francfort ».

Région

Ce champ s’applique uniquement à certains services pour lesquels vous pouvez préciser si les données quittent ou non l’UE. C’est notamment le cas d’Amazon Web Services (souvent abrégé en « AWS »).

Données personnelles

Ce champ n’est proposé que pour certains services, pour vous permettre de préciser le type de données personnelles que vous collectez par le biais du service concerné.

Base juridique du traitement des données

En vertu du RGPD, le traitement des données n’est autorisé que lorsqu’il a au moins une base juridique.

Les bases juridiques sont les suivantes :

• L’utilisateur a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
• Le traitement des données est nécessaire à l’exécution d’un contrat conclu avec l’utilisateur ou à l’exécution de mesures précontractuelles (demandées par l’utilisateur).
• Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
• Le traitement est nécessaire à la sauvegarde des intérêts vitaux de l’utilisateur ou d’autrui.
• Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique dont est investi le responsable du traitement.
• Le traitement est nécessaire aux intérêts légitimes du responsable du traitement ou d’un tiers, excepté lorsque prévalent les intérêts ou les libertés et droits de l’utilisateur, notamment lorsqu’il s’agit d’un enfant.

Dans notre registre, vous pouvez sélectionner l’une des options suivantes :

• Consentement : en demandant aux personnes physiques leur consentement, vous leur donnez réellement le choix et le contrôle. Une demande de consentement authentique devrait donner le pouvoir aux personnes physiques, instaurer un climat de confiance, stimuler l’intérêt pour votre marque et améliorer votre réputation. L’obtention du consentement est notamment obligatoire lorsque vous utilisez des outils de suivi qui reposent sur des cookies ; vous devez alors afficher un bandeau cookies qui permet à vos visiteurs d’y consentir ou non.
• Contrat : tout traitement nécessaire à la fourniture du service (hébergement, etc.). Le traitement des données personnelles d’une personne physique peut relever de cette base juridique lorsqu’il est nécessaire à la satisfaction :
  • de vos obligations contractuelles à son égard ; ou
  • d’une demande de sa part préalable à la conclusion d’un contrat (par exemple, la fourniture d’un devis).
• Obligation légale : le traitement peut relever de cette base juridique lorsque vous devez traiter les données personnelles pour vous conformer à une obligation légale (par exemple, l’obligation de facturation).
• Intérêt vital : le traitement est susceptible de relever de la base juridique des « intérêts vitaux » lorsque vous devez traiter des données personnelles pour protéger la vie d’autrui. Ce traitement ne peut être réalisé que lorsqu’il est nécessaire. Lorsque vous pouvez légitimement protéger les intérêts vitaux d’une personne d’une façon moins intrusive, le traitement ne relève pas de cette base juridique.
• Mission de service public : cette base juridique concerne surtout les pouvoirs publics, mais peut aussi s’appliquer à toute organisation qui exerce une autorité publique ou qui effectue des tâches dans l’intérêt public.
• Intérêt légitime : l’intérêt légitime est sans aucun doute la base juridique la plus versatile, mais vous ne devez pas partir du principe qu’elle sera toujours la plus adaptée à votre cas. Elle est probablement la plus adaptée lorsque vous utilisez des données personnelles d’une façon à laquelle la personne concernée pourrait légitimement s’attendre et qui n’a qu’un impact minime sur sa vie privée, ou lorsque le traitement repose sur un motif impérieux.
• Données de catégorie spéciale : les données de catégorie spéciale sont des données personnelles qui, d’après le RGPD, sont plus sensibles et doivent donc être mieux protégées. Elles incluent notamment les informations sur l’origine raciale, la religion ou la santé.
• Données d’infraction pénale : pour traiter des données personnelles relatives à des condamnations pénales ou à des infractions, vous devez vous assurer, d’une part, que le traitement relève d’une base juridique prévue à l’Article 6 du RGPD et, d’autre part, que le traitement est effectué sous le contrôle de l’autorité publique ou légalement autorisé conformément à l’Article 10 du RGPD.

Base juridique pour le transfert de données hors de l’UE

La base juridique n’est nécessaire que lorsque vous transférez des données hors de l’UE ; choisissez donc l’option adéquate.

Vous pouvez choisir parmi les options suivantes :

• Transfert de données interdit : se passe d’explications.
• Décisions d’adéquation : une décision adoptée par la Commission européenne sur le fondement de la Directive 95/46/CE, qui établit qu’un pays non membre de l’UE assure un niveau adéquat de protection des données personnelles au motif de son droit national ou des engagements internationaux qu’il a pris.
• Règles d’entreprise contraignantes : les règles d’entreprise contraignantes (BCR) sont conçues pour permettre aux multinationales de transférer des données personnelles depuis l’Espace économique européen (EEE) à leurs sociétés affiliées situées hors de l’EEE dans le respect du huitième principe de protection des données et de l’Article 25 de la Directive 95/46/CE. L’objectif de cette procédure est de vous éviter d’avoir à contacter séparément chaque autorité chargée de la protection des données. Pour plus d’informations, reportez-vous à l’Article 47 du RGPD.
• Garanties appropriées : en l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. Pour plus d’informations, reportez-vous à l’Article 46 du RGPD.
• Consentement : en demandant aux personnes physiques leur consentement, vous leur donnez réellement le choix et le contrôle. Une demande de consentement authentique devrait donner le pouvoir aux personnes physiques, instaurer un climat de confiance, stimuler l’intérêt pour votre marque et améliorer votre réputation. L’obtention du consentement est notamment obligatoire lorsque vous utilisez des outils de suivi qui reposent sur des cookies ; vous devez alors afficher un bandeau cookies qui permet à vos visiteurs d’y consentir ou non.
• Clauses contractuelles types de protection des données adoptées par la Commission européenne : la Commission européenne peut décider que des clauses contractuelles types fournissent des garanties suffisantes en matière de protection des données pour permettre le transfert de données à l’international. Jusqu’à présent, elle a publié deux ensembles de clauses contractuelles types pour encadrer les transferts de données entre les responsables du traitement établis dans l’UE et ceux établis hors de l’UE ou de l’Espace économique européen (EEE). Il s’agit de la décision 2001/497/CE et de la décision 2004/915/CE.
• Intérêt public : cette base juridique concerne surtout les pouvoirs publics, mais peut aussi s’appliquer à toute organisation qui exerce une autorité publique ou qui effectue des tâches dans l’intérêt public.
• Établissement, exercice ou défense de droits en justice.
• Intérêt vital : le traitement est susceptible de relever de la base juridique des « intérêts vitaux » lorsque vous devez traiter des données personnelles pour protéger la vie d’autrui. Ce traitement ne peut être réalisé que lorsqu’il est nécessaire. Lorsque vous pouvez légitimement protéger les intérêts vitaux d’une personne d’une façon moins intrusive, le traitement ne relève pas de cette base juridique.

Personnes impliquées dans le traitement des données à caractère personnel

Responsable du traitement
Désigne toute personne physique ou morale qui participe à la définition des objectifs et des moyens du traitement des données à caractère personnel.

Sous-traitant
Désigne toute personne physique ou morale qui participe au traitement des données à caractère personnel pour le compte du responsable du traitement.

Membres de l’organisation du responsable du traitement
Par exemple, il s’agit couramment des employés de la société ou de l’organisation.

Personnes concernées
Par exemple, il peut s’agir des utilisateurs d’un site Web ou d’une application, des visiteurs d’une boutique physique ou de clients.

Droits disponibles

Dans des circonstances normales, lorsqu’un traitement a pour base juridique le « consentement », tous les droits doivent être sélectionnés. Notre solution vous propose les options suivantes :

• Information : les personnes physiques disposent du droit d’être informées de la collecte et l’utilisation de leurs données personnelles. Il s’agit de l’une des principales exigences du RGPD en matière de transparence.
• Accès : les personnes physiques disposent d’un droit d’accès à leurs données personnelles et à des informations complémentaires. Le droit d’accès permet aux personnes physiques d’avoir connaissance du traitement et d’en vérifier la licéité.
• Rectification : le RGPD accorde aux personnes physiques le droit à ce que leurs données personnelles inexactes ou incomplètes soient corrigées ou complétées. Une personne physique peut demander la rectification de ses données à l’oral ou à l’écrit.
• Effacement : le RGPD accorde aux personnes physiques le droit à l’effacement de leurs données personnelles (aussi appelé le « droit à l’oubli »). Les personnes physiques peuvent demander l’effacement de leurs données à l’oral ou à l’écrit.
• Limitation du traitement : les personnes physiques disposent d’un droit de limitation du traitement ou de suppression de leurs données personnelles. Toutefois, ce n’est pas un droit absolu : il ne s’applique que dans certaines circonstances.
• Portabilité des données : le droit à la portabilité des données permet aux personnes physiques d’obtenir leurs données personnelles et de les réutiliser à leurs propres fins dans différents services. Il leur permet de déplacer, copier ou transférer facilement leurs données personnelles d’un environnement informatique à un autre en toute sécurité et en s’assurant qu’elles demeurent utilisables.
• Opposition : les personnes physiques ont le droit de s’opposer :
  • au traitement de leurs données réalisé aux fins de l’intérêt légitime du responsable du traitement, de l’exécution d’une mission d’intérêt public ou de l’exercice de l’autorité publique (y compris le profilage) ;
  • au marketing direct (y compris le profilage) ; et
  • au traitement de leurs données réalisé à des fins de recherche scientifique ou historique, ou encore à des fins de statistiques.

Politique de conservation

Ce champ se rapporte à la durée de conservation des données. L’option par défaut est la « conservation des données pour le temps nécessaire au regard de la finalité prévue ». Elle s’applique dans la plupart des cas. Autrement, vous pouvez définir une durée d’un à cinq ans.

Mesures de sécurité

Les mesures de sécurité incluent couramment les méthodes de chiffrement utilisées ainsi que les tests de pénétration ou d’évaluation des vulnérabilités. Cela signifie que vous devez soumettre régulièrement vos systèmes techniques à des tests afin d’en évaluer la sécurité et la résilience.

Autre mesure importante, « la sauvegarde et le stockage de périphériques de sauvegarde » signifie que vous devriez stocker vos périphériques de stockage dans un endroit dédié, uniquement accessible au personnel qui en a la responsabilité. Vous devriez vous assurer de la sécurité de l’endroit choisi au moins une fois par an.

Il est aussi recommandé d’installer un pare-feu et d’en assurer la gestion. Nous vous conseillons de passer en revue la configuration actuelle, gérer les permissions des utilisateurs du système, vérifier que le système est à jour et, enfin, l’installer sur les appareils portables. Bien sûr, la mise en place d’un pare-feu n’est pas une nouveauté du RGPD, mais une mesure de sécurité élémentaire déjà imposée par les normes actuelles.

Dans notre registre, vous pourrez choisir parmi les options suivantes :

• Chiffrement : le chiffrement est un processus très répandu qui consiste à générer une version encodée et incompréhensible des données, à l’aide d’un algorithme de chiffrement et d’une clé de chiffrement. Pour déchiffrer ces données, il est nécessaire de disposer du code ou de la clé de déchiffrement.
• Anonymisation : le Considérant 26 du RGPD définit les données anonymisées comme des « données rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable ».
• Pseudonymisation : la pseudonymisation consiste à séparer les données des identifiants directs, afin d’empêcher que des données puissent être reliées à la personne physique à laquelle elles se rapportent sans informations supplémentaires (ces dernières devant être conservées séparément). Elle permet donc de réduire les risques associés au traitement des données sans en empêcher l’utilisation.
• Audit : le RGPD exige la tenue régulière d’audits de vos données, d’examens et d’exercices de gestion des données.
• Restriction d’accès : désigne la restriction de l’accès aux données permettant d’identifier des personnes qui sont recueillies auprès de personnes se trouvant dans l’Union européenne ou stockées dans l’UE.

Que signifie le bouton « Ajouter une alternative »?

En vertu du RGPD, vous devez décrire vos pratiques de collecte de données de façon très précise et détaillée. Prenons un scénario courant : un site Web dispose de plusieurs formulaires de contact, dont chacun s’adresse à des personnes physiques différentes ou dont les données recueillies sont partagées avec des parties différentes. Autre exemple : un site propose deux newsletters différentes destinées à des clients ou groupes d’utilisateurs différents.

Notre Registre des activités de traitement des données au niveau interne vous permet donc d’ajouter différentes versions d’un même service.

Exemples concrets

Nous allons désormais passer en revue un éventail d’exemples précis pour vous donner une vision plus concrète des informations ci-dessus, y compris de nos « options alternatives » :