Droit en Poche - RGPD : la protection des données à caractère personnel - 5e - 37

Ce registre est placé sous la responsabilité du responsable du traitement
et non du délégué à la protection des données. Dans ses lignes
directrices sur le DPO, le CEPD précise que « rien ne s'oppose à
ce que le responsable du traitement ou le sous-traitant confie au
[DPO] la mission de tenir [ce] registre ».
À titre d'exemple, la CNIL a publié son registre sur son site internet,
ainsi que plusieurs modèles de registres.
Le registre des violations de données
L'ensemble des violations de données devra être documenté. Ce
registre comprend les faits, les effets et les mesures prises pour
remédier à cette violation (art. 33, 5).
Les mesures organisationnelles pour
garantir le respect des principes de
Privacy by design et by default
Les principes de Privacy by design et by default, concepts élaborés
par la Commissaire à l'information et à la protection de la vie privée
de l'Ontario, Ann Cavoukian, consistent à intégrer la protection
des données dès la conception des produits et services et
par défaut.
L'article 25 précise que « le responsable du traitement met en
œuvre, tant au moment de la détermination des moyens du traitement
qu'au moment du traitement lui-même, des mesures techniques
et organisationnelles appropriées (...) qui sont destinées
à mettre en œuvre les principes relatifs à la protection des données
(...) de façon effective et à assortir le traitement des garanties
nécessaires ».
Le responsable du traitement doit donc dès la conception (by
design), dans le cadre de la phase projet, prendre en compte les
principes de protection des données afin qu'ils soient nativement
inclus dans l'application (par exemple la possibilité d'extraire
des données de manière anonymisée pour faire des statistiques,
d'archiver des données à l'issue d'une période à déterminer, etc.).
Ces mêmes principes seront applicables en cas de sélection d'un
outil proposé par un fournisseur de service (par exemple en procédant
à une sélection sur la base d'un cahier des charges). La prise
en compte de ce principe implique donc d'adapter les méthodologies
de gestion de projet et les process de sélection des
prestataires et des outils.
À titre d'exemple, la CNIL a retenu un manquement au principe
de protection des données dès la conception à l'égard de Free, la
société ayant choisi comme identifiant de facturation un numéro
de téléphone mobile, l'obligeant dès lors à poursuivre le traitement
de cette donnée et à la faire figurer sur les factures, alors même
que Free ne serait plus le gestionnaire de la ligne. La CNIL retient
que « La société aurait dû prévoir, dès la conception, des mesures
organisationnelles et techniques pour ne plus traiter ces données
RGPD : la protection des données à caractère personnel
Droit en Poche - RGPD : la protection des données à caractère personnel - 5e

Table des matières de la publication Droit en Poche - RGPD : la protection des données à caractère personnel - 5e
