Les outils de la Compliance
Vous avez dit Privacy by design et Privacy by default ?
Le RGPD consacre les principes de Privacy by design et Privacy by default qui obligent les responsables du traitement et les sous-traitants à intégrer en amont d’un traitement toutes les mesures permettant de protéger la vie privée des personnes concernées par ledit traitement.
À ce titre, le 20 octobre 2020, le Comité Européen sur la Protection des Données (CEPD) a d’ailleurs adopté des Lignes directrices 4/2019 relatives à l’article 25 Protection des données dès la conception et protection des données par défaut.
1. Privacy by design
a. La genèse du concept
Les années 90 ont connu l’apparition des premières technologies visant à renforcer la protection de la vie privée. Les PET (Privacy...
Comment respecter le principe de Privacy by design ?
Cette obligation concerne la qualité des données collectées mais aussi le périmètre de leur traitement, la durée de leur conservation, qui, par défaut, doivent être limités au minimum nécessaire à la finalité définie.
1. Tenir un registre des activités de traitement
Le RGPD, remplace le système de contrôle, a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques que présente ce dernier.
L’article 30 du règlement impose l’obligation pour les responsables de traitement et les sous-traitants de tenir un registre des activités de traitement effectuées sous leur responsabilité afin de démontrer qu’ils ont déployé les mesures de protection appropriée.
Ce registre doit impérativement être écrit et doit pouvoir être mis à la disposition de la CNIL à sa demande.
Lorsque le traitement est sous-traité, le sous-traitant doit également tenir ce registre et le mettre à la disposition du responsable de traitement lorsqu’il en fait la demande.
Pour des raisons de confidentialité et de sécurité informatique (cloisonnement des données) évidente, nous pensons que le sous-traitant doit mettre en œuvre un registre par responsable de traitement ou une base permettant d’extraire une information ciblée.
Étant précisé que, lorsqu’un organisme agit à la fois en tant que sous-traitant et responsable de traitement, le registre doit clairement distinguer les deux catégories d’activités. En pratique, dans cette hypothèse, la CNIL recommande, là aussi, de tenir deux registres différents, l’un portant sur les traitements mis en œuvre en qualité de responsable de traitement, l’autre pour les traitements mis en œuvre en qualité de sous-traitant conformément aux dispositions de l’article 30 du RGPD (art. 30.1 et 30.2 du RGPD).
L’obligation de constituer et tenir à jour un registre s’impose...