Le registre des opérations de traitement ou le coeur de la conformité

Le registre des opérations de traitement est une étape fondamentale pour la conformité à la LPD. En le maintenant et en le faisant vivre dans la durée, l’organisation s’assure de disposer d’un document fiable et actualisé qui lui permettra d’orienter ses actions de conformité et de démontrer sa conformité. Dans ce numéro, nous analysons de près le registre des opérations de traitement tel qu’il est défini par l’article 12 de la LPD.

Le registre est en premier lieu un inventaire des activités réalisées par chaque organisation qui comprend les processus gérés en autonomie et ceux confiés à des tiers et réalisés pour son compte. Mis à part le fait que le registre est un document de conformité obligatoire, il est essentiel car il permet de disposer d’une vue d’ensemble des processus existants, des acteurs concernés, des bases légales et des mesures de sécurité en place.

Ainsi, le registre des traitements est un document qui « vit » avec l’organisation et qui doit être mis à jour régulièrement pour être vraisemblable. C’est un outil de suivi opérationnel et d’aide à la décision du responsable du traitement qui a aussi pour vocation le pilotage de la conformité à la LPD.

L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles. Le Conseil Fédéral prévoit des exceptions pour les entreprises dont les traitements des données présentent un risque limité à l’atteinte à la personnalité des personnes concernées si elles emploient moins de 250 personnes.

Dans les faits, les organisations doivent inscrire au registre les traitements de données personnelles dits non occasionnels comme la gestion de la paie, la gestion des clients/prospects et des fournisseurs,  ….. ainsi que les traitements susceptibles de comporter un risque pour les droits et libertés des personnes comme par exemple les systèmes de géolocalisation, de vidéosurveillance, d’intelligence artificielle, et les traitements qui portent sur les catégories particulières et sensibles de données à caractère personnel, qui sont les données de santé, les données génétiques, les informations judiciaires, les opinions politiques, les convictions religieuses ou philosophiques ou encore l’appartenance syndicale.

La LPD spécifie l’obligation de mettre en place un registre de traitements des données personnelles pour :

  • Le responsable du traitement, c’est-à-dire la personne privée ou l’organe fédéral qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles.
  • Le sous-traitant, c’est à dire la personne privée ou l’organe fédéral, qui traite des données personnelles pour le compte du responsable du traitement.

Il est donc fréquent pour une même entreprise d’avoir deux registres des traitements qui répondent aux obligations de l’art. 12 paragraphe 2 pour les activités réalisées pour con compte et tant que responsable du traitement et paragraphe 3 pour les activités réalisées pour des tiers en tant que sous-traitant.

Pour une coordination essentielle, il est conseillé de désigner une personne au sein de l’organisation pour la tenue du registre. Sa mise en place, très technique, est généralement réalisée avec le support d’un consultant spécialisé sur la base des informations collectées lors d’entretiens spécifiques. Chaque responsable de services doit être impliqué dans la réalisation du registre, car c’est un outil qui doit être connu des opérationnels pour être appliqué et être mis à jour en cas d’évolution. Ce n’est pas un simple exercice de conformité que l’on place dans un tiroir. La LPD impose que le registre se présente sous une forme écrite, son format est libre et peut être papier ou électronique. Il est spécifique à chaque société ou organisation, il n’est donc pas accepté un registre des traitements commun pour un groupe d’entreprises.

Le registre du responsable de traitement permet de documenter tous les traitements de données réalisés et de se poser les bonnes questions au moment de sa réalisation sur :

  • La nécessité de recueillir certaines données dans le cadre d’un traitement ;
  • La durée de conservation et le véritable besoin de conserver des données pour une période définie ;
  • L’application de la durée de conservation dans les systèmes et applications utilisées ;
  • Les mesures de sécurité et de protection adéquate des données ;
  • La véritable nécessité de transférer des données personnelles hors de la confédération Suisse.

Pour ce qui est du registre du sous-traitant, il doit représenter les activités qui font l’objet d’un service rendu à un tiers et les informations relatives au contrat de services avec les éventuels transferts de données, les mesures de sécurité en place et l’utilisation d’éventuels sous-traitants en cascade.

Ainsi, les registres des traitements qui occupent une place centrale dans le programme de mise en conformité à la LPD sont essentiels pour suivre l’évolution des processus internes et décider la meilleure protection possible des données personnelles. Ils représentent également la documentation obligatoire en cas d’inspection.

Fabienne Flesia

👉 Inscrivez-vous à notre newsletter “Data Management et Business” sur notre page Linkedin.

Condividi

Post Recenti

EDPB: Data processing supply chain – 3

The Foodinho case

A verbal communication can be a “processing”