ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !
En savoir plus

Article 30 du RGPD : Quelles sont les exigences ?

Article 30 du GDPR
Catégories :

Établissement d'un registre des activités de traitement

Les entreprises utilisent différents indicateurs pour analyser leur évolution dans des domaines tels que le marketing, les ventes, le succès auprès des clients, les ressources humaines, les finances ou l'informatique. La création d'un registre des activités de traitement peut rationaliser et relier tous ces efforts. Toutes les entreprises sont censées indiquer dans leur déclaration de confidentialité les finalités pour lesquelles elles traitent les données à caractère personnel de leurs clients et d'autres personnes concernées. Le registre des activités de traitement offre une excellente vue d'ensemble des activités des différents services, des processus de votre entreprise et du traitement des données à caractère personnel.

L'article 30 oblige toute entreprise opérant en tant que responsable de la protection des données dans le champ d'application du RGPD à tenir un "registre des activités de traitement" (VVT) sous forme écrite (également : électronique). Le VVT offre un aperçu complet du traitement des données à caractère personnel dans l'entreprise. Les sous-traitants doivent également tenir un VVT des processus qu'ils exécutent pour le compte de leurs clients. Le VVT indique le comment et le pourquoi du traitement des données. Le VVT doit être présenté à l'autorité de contrôle sur demande.

 

Article 30 du RGPD : Qu'est-ce qu'une "activité de traitement" exactement ?

La notion d'"activité de traitement" n'est pas suffisamment définie dans le RGPD. Il peut donc y avoir un manque de clarté sur ce qui doit être documenté et à quel niveau de détail. En général, le RGPD exige de documenter les différentes étapes du processus au cours desquelles les données à caractère personnel des collaborateurs, des clients ou d'autres personnes concernées sont traitées. Il en va de même pour la base juridique et les finalités de chaque traitement de données.

Article 30 du RGPD : Le registre des activités de traitement  

L'article 30 du RGPD définit le contenu du registre des activités de traitement. Outre le nom et les coordonnées de l'entreprise et du délégué à la protection des données, s'il existe, les informations suivantes doivent être documentées pour chaque traitement de données à caractère personnel :

  • Finalité du traitement - Pourquoi et dans quel but utilisez-vous des données à caractère personnel ?
  • Catégories de personnes concernées - employés, clients, etc.
  • Catégories de données à caractère personnel - données de contact, financières, de santé, etc.
  • Catégories de destinataires - À qui les données sont-elles divulguées ?
  • Informations sur les destinataires en dehors de l'UE/EEE
  • Délais de suppression
  • Description des mesures de sécurité / de protection techniques et organisationnelles

Pour chaque traitement de données, vous avez besoin d'une base juridique. Il est absolument utile de la consigner également dans votre VVT. En cas de traitement des données sur la base de l'article 6, paragraphe 1, point f), du RGPD, vous devez également documenter les intérêts légitimes respectifs poursuivis par le responsable du traitement ou par un tiers.  

Article 30 du RGPD : Exemples d'activités de traitement

Les exemples de traitement des données des salariés peuvent être les suivants :

L'utilisation de logiciels ou d'équipements spécifiques pour collecter, traiter ou utiliser les données des employés (par exemple, les systèmes de recrutement électronique, de gestion des salaires, de gestion du temps, de dossiers personnels numériques, de contrôle d'accès électronique, de vidéosurveillance).

 

L'article 30 du RGPD : Quel est son impact sur mon entreprise ?

L'article 30 du RGPD stipule que toutes les entreprises de plus de 250 employés doivent tenir un registre des activités de traitement. Sur demande, il doit être présenté à l'autorité de contrôle pour vérification.  

Avant qu'une entreprise ne commence à élaborer un RGPD, elle doit d'abord analyser les catégories de données à caractère personnel qu'elle traite, l'endroit où les données sont stockées et le flux de données à l'intérieur et à l'extérieur de l'entreprise. Cela constitue également la base du respect d'autres exigences du RGPD, telles que l'article 6 (définition d'une base juridique pour le traitement), l'article 7 (conditions et exigences pour l'obtention du consentement) et l'article 13 (obligations d'information).

 

Article 30 du RGPD : Existe-t-il des modèles pour un VVT ?

Il existe de nombreux modèles de VVT disponibles en ligne. Des logiciels spécialisés comme 2B Advice PrIME contiennent des catalogues ou des modèles qui vous aident à remplir l'obligation de documentation en créant des enquêtes en ligne auxquelles il est facile de répondre et qui peuvent être transmises aux responsables techniques concernés.

Par exemple, un questionnaire VVT pourrait poser ces questions :

- Pourquoi traitez-vous des données à caractère personnel ?

- Quelles sont les données que vous traitez ?

- Quels types ou catégories de données traitez-vous ?

- Combien de temps conservez-vous les données / quand supprimez-vous ces données ?

- Quelles sont les mesures que vous mettez en œuvre pour protéger ces données ?

- Avec quels tiers ou fournisseurs partagez-vous ces données ?

Ces questions devraient être traitées par chaque service interne et par chaque division qui traite les données des employés ou des clients.

 

Liste de contrôle Article 30 RGPD : Comment relever le défi

Avant qu'une entreprise puisse commencer à élaborer un RGPD, elle doit d'abord analyser les catégories de données à caractère personnel qu'elle traite, l'endroit où les données sont stockées et le flux de données à l'intérieur et à l'extérieur de l'entreprise. Cela constitue également la base du respect d'autres exigences du RGPD, telles que l'article 6 (définition d'une base juridique pour le traitement), l'article 7 (conditions et exigences pour l'obtention du consentement) et l'article 13 (obligations d'information).

1) Développer un questionnaire standard pour l'évaluation d'impact sur la vie privée

2. établissez des directives et des procédures uniformes pour les exigences importantes telles que les obligations d'effacement ou les mesures techniques et organisationnelles

3. définir des seuils de risque afin d'identifier les domaines à améliorer

4. vérifier que tous les traitements de données ont une base juridique valide

5. mettre à jour votre déclaration de confidentialité en conséquence

6. entretenir régulièrement le VVT électronique

Ce sont là quelques-unes des premières étapes pour mettre une entreprise sur la voie de la conformité en matière de protection des données. D'autres facteurs peuvent être des audits de prestataires de services ou la mise en place de formations pour les employés afin de minimiser le risque de violation des données.

Article 30 du RGPD : Que risque-t-on en cas de non-respect ?

Les autorités de contrôle ont le pouvoir d'infliger des amendes importantes aux responsables du traitement ou aux sous-traitants. Des amendes peuvent être infligées pour un grand nombre d'infractions, par exemple pour le non-respect de l'article 30 du RGPD. Dans ce cas, les amendes peuvent atteindre 10.000.000 € ou jusqu'à deux pour cent du chiffre d'affaires mondial de l'année précédente, le montant le plus élevé étant retenu.

Peut-on comparer la nouvelle réglementation californienne CPRA à l'article 30 du RGPD ?

L'une des dispositions les plus ambitieuses de l'OCRC, 1798.185(a)(15), est similaire à l'article 30 du RGPD dans la mesure où elle exige des entreprises qu'elles réalisent des audits annuels de cybersécurité et des évaluations "périodiques" des risques si "le traitement par l'entreprise de données à caractère personnel de consommateurs présente un risque significatif pour la vie privée ou la sécurité des consommateurs". Pour déterminer si le traitement présente "un risque significatif", l'OCRC identifie deux facteurs à prendre en compte. Premièrement, la taille et la complexité de l'entreprise ; deuxièmement, la nature et la portée des activités de traitement.

La principale différence réside dans le fait que le CPRA exige également qu'une entreprise fournisse régulièrement à l'Agence californienne de protection de la vie privée (California Privacy Protection Agency, CPPA) une évaluation des risques liés à son traitement des données à caractère personnel.

Considérations finales : Que devez-vous faire ensuite en ce qui concerne l'article 30 du RGPD ?

Si vous êtes basé en Europe, si vous vous développez en Europe, si vous acquérez une entreprise en Europe ou si vous fusionnez avec une entreprise en Europe et que vous souhaitez passer de la création et de la maintenance de votre VVT à partir de modèles Excel ou autres à un système de gestion intégré et conforme à la protection des données, 2B Advice peut vous aider. Notre logiciel robuste 2B Advice PrIME a été développé en Allemagne, au cœur de la culture de la protection des données. 2B Advice PrIME a été conçu pour répondre aux exigences les plus strictes du RGPD et des autorités de contrôle européennes.

Prenez rendez-vous dès aujourd'hui pour un entretien de conseil.

Sources :
ico.org.uk
iapp.org
leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV&sectionNum=1798.185.

Prendre contact
Les tags :
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages

fr_FRFrench
de_DEGerman en_USEnglish it_ITItalian fr_FRFrench