Un registre RGPD de plus : fonctions accédant à certaines données

Tu utilises des données

Un registre RGPD de plus : fonctions accédant à certaines données

20 septembre 2023 | Tu utilises des données

Le RGPD et les registres, une grande histoire d’amour

La faute au principe de responsabilité, le Règlement Général sur la Protection des Données ( RGPD) exige (plus ou moins explicitement) que tu mettes en place une documentation assez précise.

Le but ? Pouvoir démontrer que oui, tu respectes bien tes obligations quand tu décides d’envoyer des emails, rédiger des notes de réunion, de facturer, de créer une nouvelle campagne de pub sur les réseaux sociaux, quand tu organises un webinaires, quand tu sauvegardes des documents dans le cloud,etc.

Bref, quand tu utilises les données personnelles de tes clients (par exemple) au quotidien.

Les registres et listes nécessaires (soit littéralement exigés, soit demandés sous la forme d’une obligation de documentation, ou simple outil pratique pour te faciliter le suivi de tes obligations) sont pour tous les pays :

Pourquoi ces registres sont utiles, en dehors de la « simple » obligation légale

Soyons honnêtes, sans l’obligation de mettre en place et tenir à jour cette documentation, il y a certaines questions que nous ne nous poserions peut-être pas.

Ou pas d’entrée de jeu, quand

  • il est encore temps d’ajuster le tir (et éviter d’avancer dans un projet qu’il faudra lourdement modifier par la suite, ce qui entraîne des coûts et de la perte de temps),
  • avant la fuite de données,
  • avant de partager des données qui n’étaient pas vraiment nécessaires à atteindre ton objectif initial,

Bref, avant de soumettre notre client à des situations qui peuvent mettre en danger ses droits et libertés fondamentales.

Oui, on parle droits de l’homme ici. Carrément.

Le registre bonus pour nous, les Belges : Qui accède aux données génétiques, biométriques ou des données concernant la santé dans notre organisation ?

Donc prenons cette opportunité pour nous poser et réfléchir à la manière dont nous organisons l’accès aux données génétiques, biométriques ou des données concernant la santé dans notre organisation.

Le texte du RGPD prévoit que lorsqu’il s’agit de manipuler ces données (qui font partie des données considérées comme « sensibles« ), chaque état membre de l’Union Européenne peut décider d’ajouter une couche de protection par rapport à ce qui est prévu initialement.

Et l’état belge a (bien entendu) saisi l’occasion.

Voilà ce qu’il a prévu (en plus) pour toi qui utilise des données génétiques, biométriques ou des données concernant la santé :

  • Tu devras tenir un registre/liste où tu reprends les fonctions de ton personnel accédant à ces données, en indiquant à chaque fois quel est leur rôle par rapport à ton utilisation de ces données. Pourquoi ces fonctions ont besoin d’accéder à ces données, en gros. Pour plus de clarté, indique dans le cadre de quelle activité de traitement ces fonctions interviennent. Si tu es seul, tu peux juste indiquer ta fonction sur la liste.
  • Tu devras pouvoir transmettre ce registre si l’Autorité de protection des données (APD) te la demande.
  • Tu devras faire signer une clause de confidentialité si les personnes exerçant ces fonctions ne sont pas déjà tenues par le secret professionnel (par une obligation légale, comme le personnel médical par ex).

Concrètement, voilà comment ton registre se présente..

Ton registre pourrait avoir 3 colonnes et tu dois être prêt à le communiquer sur simple demande de l’APD :

  • fonction (ex : secrétaire)
  • rôle dans le déroulement d’une activité de traitement que tu auras définie dans ton registre d’activités de traitement (ex : intervient pour encoder les jours d’absence pour maladie dans le cadre de la « gestion de la paie »)
  • comment tu as imposé l’obligation de confidentialité à cette fonction (ex : signature d’une clause spécifique, obligation légale, etc)

Bien entendu tu peux choisir d’intégrer ces informations à ton registre d’activités de traitement par exemple. Ainsi, tu pourrais maximiser les chances qu’en cas de mise à jour d’une utilisation de données (ex: un formulaire que tu modifierais pour ajouter des infos de santé), tu penses à vérifier si la liste de fonctions ayant accès à des données génétiques, biométriques ou des données concernant la santé en lien avec cette activité doit être adaptée et si tu n’as pas oublié de faire signer des clauses de confidentialité.

Tu veux connaître les autres surprises que l’état belge a prévues pour nous autres, organismes belges utilisant des données personnelles ? Tu trouves cela dans cet article (que je complète au fur et à mesure) !

 

Références légales

Retour au Blog 

Sur le(s) même(s) thème(s) 

RGPD en mode belgitude : les spécificités belges

Un règlement européen est supposé être un texte directement applicable dans les pays membres de l'Union Européenne, sans que les états n'aient à "transposer" (comprendre : concrétiser pour leur pays les principes généraux définis dans une directive) le contenu du...

Vis ma vie de sous-traitant RGPD

Hier, j'ai reçu la confirmation d'un client que nous allons signer une annexe "contrat de traitement de données" à une lettre de mission que nous avons déjà en place. Mon premier contrat de traitement de données en tant que sous-traitant ! Une sombre histoire...

w

Je suis à votre écoute 5j/7, alors n'hésitez pas !

Du lundi au vendredi, je réponds à toute demande de prestation ou de renseignement.