Créer un traitement conforme à l'Article 30

Cet article à l'attention des responsables de traitement et des sous-traitants permet de réaliser les exigences minimum requises pour obtenir un traitement conforme à l’Article 30 du RGPD.

Visionner le webinaire “Workflow d’un traitement”.

Veuillez noter que certaines fonctionnalités présentées dans le webinaire ont évolué. Les informations présentes dans cet article sont donc plus récentes.

 

Table des matières


 

 

Eléments requis pour un traitement conforme à l'Article 30

Découvrez les éléments requis qu'un responsable de traitement ou qu'un sous-traitant doit ajouter à un traitement pour qu'il soit conforme à l'Article 30.

Pour ajouter des informations complémentaires et aller au-delà de cette conformité, vous pouvez créer un traitement en mode Etendu.

 

CONFORMITE ARTICLE 30

Minimum requis

RUBRIQUES

RESPONSABLE

SOUS-TRAITANT

Identification

Au moins 1 service OU/ET 1 personne en charge 

Finalités

1 finalité 1 base juridique

Données

1 catégorie de données +  1 catégorie de personnes
+ détails de conservation (mode d’effacement + durée de conservation + point de départ)

Droits des personnes

Rien

Destinataires

Au moins 1 destinataire interne OU destinataire externe

Rien

Flux transfrontaliers

Non OU Oui + 1 destinataire hors UE + Garantie juridique

Mesures de sécurité

SI Site ou Logiciel => 1 mesure de sécurité pour chacun

SI Matériel => Type + 1 mesure de sécurité pour chacun

Analyses d’impact

Répondre Oui aux deux questions

OU

Répondre Oui à la première question et Non applicable à la deuxième

Rien

Statut et documentation

Rien

 

 

 

Avant de commencer

Quelques informations d’ordre général à connaitre avant de compléter un traitement :

  1. Seuls les domaines présents dans le référentiel domaines peuvent être liés au traitement. Si nécessaire, créez un domaine.
  2. Les tiers, les logiciels ou les sites peuvent être liés à un traitement à sa création.
  3. L'enregistrement est automatique. Vous pouvez quitter et revenir au traitement sans perdre votre travail.
  4. Un pourcentage d'avancement vous indique votre taux de conformité à l'article 30. Un traitement avec un pourcentage à 100% indique qu'il est conforme à l'article 30 du RGPD.
  5. L’ajout d'éléments au-delà du minimum requis n’augmentera pas votre pourcentage d'avancement. Cependant, l'ajout d'éléments supplémentaires incomplets freinera l'avancement de votre taux de conformité.

    Ainsi, si vous sélectionnez une deuxième catégorie de données, sans compléter les informations de stockage liées à cette catégorie, vous n’aurez pas tous les points de pourcentage pour la section Données.

     

 

Créer un traitement

  • Dans la barre latérale, cliquez sur Traitements.

La page des Traitements s’affiche avec la liste complète des traitements de l’entité.

  • Le bouton à bascule Article 30 / Étendu doit être de couleur grise. S'il est vert, cliquez dessus afin de sélectionner Article 30.




  • Pour créer un traitement, vous pouvez :
  • Selon votre choix à l'étape précédente, la fenêtre Ajouter un traitement ou Activer un traitement s'ouvre. Les champs présents dans les deux fenêtres sont similaires.




  • Effectuez l’une des actions suivantes :
    • Si vous créez un nouveau traitement, dans le champ Type et nom du traitement, sélectionnez RT (Responsable de Traitement) ou ST (Sous-traitant) et saisissez le nom du traitement. Puis, dans le menu Domaine, sélectionnez un domaine. Vous pourrez changer le nom et le domaine par la suite, mais pas le type.
    • Si vous activez un traitement prédéfini, les champs Type et nom du traitement et Domaine sont préremplis.

Remarque : Les Domaines servent à regrouper les traitements. Ils doivent avoir été ajoutés au référentiel des domaines auparavant.


Par défaut, vous êtes sélectionné pour prendre en charge la rédaction et la validation du traitement. Vous pouvez modifier ces informations à tout moment.

  • Pour ajouter d’autres rédacteurs ou validateurs, cliquez sur le champ concerné et sélectionnez une personne dans la liste déroulante.
  • Pour supprimer un utilisateur, cliquez sur Retirer Retirer l'utilisateur.

Astuce : Pour connaître les activités des rédacteurs et des validateurs, consultez l’article Traitements : le workflow.

 

  • Pour créer ou activer le traitement vous avez deux possibilités :

    • Cliquez sur Créer et rester sur la page / Activer et rester sur la page : Le traitement se crée ou s'active et vous êtes redirigé vers la page des Traitements. Vous pouvez travailler sur d’autres traitements.

    • Cliquez sur Créer et ouvrir le traitement / Activer et ouvrir le traitement : Le traitement s’ouvre et vous pouvez commencer à le compléter (écran ci-dessous).

 

Compléter un traitement conforme à l’Article 30

Ce chapitre décrit chacune des rubriques à compléter afin de créer un traitement conforme à l’Article 30. Les responsables de traitement doivent remplir 7 rubriques, les sous-traitants 5 rubriques.

Prérequis : Positionner le bouton à bascule sur mode Article 30.

 

Identification

Les personnes en charge ajoutées sont des correspondants de votre structure capables de répondre aux questions concernant le traitement.

Pour être conforme, l'ajout d'un service ou d'un contact est suffisant.

Pour ajouter des personnes en charge :

Dans la barre latérale, cliquez sur Traitementstrouvez le traitement et cliquez dessus pour l’ouvrir.

Vous êtes désormais sur la fiche du traitement à l'étape Identification. Le menu s'affiche à gauche et le contenu à compléter à droite.

  • Cliquez sur le bouton Ajouter un contact ou un service.

Vous avez deux possibilités :

  • Sélectionner un service sans désigner de personne particulière. Pour ce faire, rendez-vous dans l’onglet Services.

  • Sélectionner un contact spécifique, cliquez sur l’onglet Contacts et sélectionnez le contact. La colonne service sera complétée automatiquement avec le service de rattachement du contact.





 
  • Si la personne en charge souhaitée n'apparaît pas, cliquez sur :
    • Créer un service
    • Créer un contact.

Il sera automatiquement ajouté au référentiel correspondant.

  • Pour confirmer votre sélection, cliquez sur Valider.

Les services et contacts sélectionnés apparaissent dans deux sections distinctes.

 

Traitements - Identification - Personnes en charge

 

 

Finalités

  • Dans le menu du traitement, cliquez sur Finalités.
  • Dans la section Finalités, cliquez sur Ajouter une finalité.
  • Si nécessaire, détaillez votre finalité dans la zone de texte.

 

Votre pourcentage d'avancement devrait être de :

  • 43% pour les Responsables de traitement (14% pour cette rubrique uniquement)

  • 60% pour les Sous-traitants (20% pour cette rubrique uniquement)

 

 

Données

L'ajout d'une catégorie de personnes et d'une catégorie de données est suffisant pour être conforme.

 

Pour ce faire :

  • Dans le menu du traitement, cliquez sur Données.

L'étape des Données s’affiche.



  • Cliquez sur Ajouter une catégorie de personnes.

  • Depuis la fenêtre Ajouter une catégorie de personnes, vous pouvez : 

    • Cocher des catégories de personnes puis cliquez sur Valider.

    • Cliquer sur Créer une catégorie, entrer son nom puis cliquer sur Valider.

 

 

  • Sélectionnez une catégorie de données, ou ajoutez votre propre catégorie dans la zone de texte et cliquez sur le bouton Ajouter.


Traitements - Données - Categories de donnees

Une fenêtre portant le nom de la catégorie sélectionnée apparaît à droite.

  • Sélectionnez la méthode d'effacement : manuel ou automatique.
  • Entrée une Durée. Et si nécessaire, modifiez l’unité de temps.
  • Sélectionnez le Point de départ.

Remarque : Le point de départ correspond au moment à partir duquel on compte la durée de conservation.

Si vous sélectionnez Autre, décrivez le point de départ dans le champ Commentaire

 

  • Complétez les informations de conservation pour toutes les catégories de données sélectionnées.
 

Votre pourcentage d'avancement devrait être de :

  • 57% pour les Responsables de traitement (14% pour cette rubrique uniquement)

  • 80% pour les Sous-traitants (20% pour cette rubrique uniquement)

 

 

Droits des personnes

L'étape droits des personnes est uniquement accessible en mode Etendu.

 

 

Destinataires

Cette rubrique vous permet de sélectionner un destinataire des données interne à votre structure, ou un destinataire externe. Les destinataires sont également appelés tiers.

 

Attention : Pour la conformité avec l’Article 30, vous devez saisir au moins un destinataire interne ou externe.

Cette saisie est :

  • Obligatoire pour les Responsables de traitement

  • Optionnelle pour les Sous-traitants (il est par contre obligatoire en mode Etendu).

 

  • Dans le menu du traitement, cliquez sur Destinataires.
 

Pour ajouter un destinataire interne :

  • Cliquez sur Ajouter un destinataire interne.
  • Rendez-vous sous l'onglet Référentiel services ou Contacts.
  • Sélectionnez le destinataire souhaité.



Pour ajouter un destinataire externe :

  • Cliquez sur l'onglet Externes.

  • Cliquez sur Attacher un tiers.
  • Pour trouver un destinataire, défilez la liste vers le bas ou saisissez une entrée dans le champ.


Traitements - Destinataires - Attacher un tiers

 

Votre pourcentage d'avancement devrait être de :

  • 71% pour les Responsables de traitement (14% pour cette rubrique uniquement)

  • Optionnel pour les Sous-traitants (pas de points pour cette rubrique)

 

 

Flux transfrontaliers

Cette étape vous permet de lister les pays hors de l'Union Européenne auxquels vous transférer des données et la garantie juridique associée à chaque transfert.

 

Prérequis : Avoir renseigné des destinataires externes situés hors UE.

 

  • Dans le menu du traitement, cliquez sur Flux transfrontaliers.
  • Indiquez si vous transmettez des données personnelles hors de l'Union Européenne.



  • Si vous cochez Oui, cliquez sur Ajouter un destinataire et sélectionnez-le.

Remarques :

 
  • Dans le menu déroulant, sélectionnez une Garantie juridique.


 

Votre pourcentage d'avancement devrait être de :

  • 86% pour les Responsables de traitement (15% pour cette rubrique uniquement)

  • 100% pour les Sous-traitants (20% pour cette rubrique uniquement)

Si vous avez répondu Je ne sais pas à la question initiale, aucun pourcentage supplémentaire ne vous est attribué.

 

 

Mesures de sécurité

L'étape Mesures de sécurité vous permet de vous assurer que :

  • Les sites, logiciels et matériels attachés au traitement possèdent au moins 1 mesure de sécurité.
  • Le matériel attaché au traitement a un Type.

Les logiciels liés sont ceux qui collectent des données dans le cadre du traitement considéré.

Les sites liés sont ceux dans lequel les données sont traitées


Pour être conforme à l'Article 30, il n'est pas nécessaire d'attacher un logiciel, un site ou matériel à un traitement.

 

Pour ajouter un Site, Logiciel ou Matériel :

  • Dans le menu du traitement, cliquez sur Destinataires.
  • Cliquez sur Ajouter un Site, Logiciel ou Matériel.



La fenêtre correspondante s'ouvre.

 

 

Ajouter un site ou un logiciel

  • Selon votre besoin, cliquez sur l'onglet Sites ou Logiciels.
  • Cochez les éléments à lier au traitement.
  • Pour trouver un élément, saisissez son nom dans la barre de recherche.


Remarque : Le site ou le logiciel souhaité est absent de la liste ? Créez-le depuis le traitement.

Pour créer un site, rendez-vous sur l'onglet correspondant puis cliquez sur Créer un site. Dans la fenêtre qui s'ouvre, entrez son nom et sélectionnez les mesures internes et externes au site.

Pour créer un logiciel, rendez-vous sur l'onglet correspondant puis cliquez sur Créer un logiciel. Dans la fenêtre qui s'ouvre, entrez son nom et complétez les mesures de sécurité associées.

Pour compléter ultérieurement la fiche de votre nouvel élément, rendez-vous sur le référentiel sites ou le référentiels logiciels.


  • Naviguez d'un onglet à l'autre pour ajouter des éléments puis cliquez sur Valider.


Ajouter un matériel

  • Cliquez sur l'onglet Matériels.
  • Saisissez :
    • Le type de support.
    • La marque.
    • La référence.
  • Sélectionnez les mesures de sécurité associées.
  • Cliquez sur Valider.

 

Les sites, logiciels et matériels associés au traitement sont listés dans des sections distinctes et triés par ordre alphabétique. 

Pour afficher les mesures de sécurité associées à un élément, cliquez sur Développer Afficher - Icone.

Pour modifier les mesures de sécurité d'un élément, cliquez sur Editer les mesures Edit.

Pour détacher un site, un logiciel ou un matériel d'un traitement, cliquez sur Retirer Fermer.

 

 

Votre pourcentage d'avancement devrait être de :

  • 86% pour les Responsables de traitement

  • 100% pour les Sous-traitants !

Il n’y a pas de points accordés pour cette rubrique étant donné qu’il n’est pas obligatoire d’ajouter un site, un logiciel ou un matériel au traitement. Cependant, si vous en avez un ou plusieurs et qu’ils n’ont pas chacun au moins une mesure de sécurité, votre total baissera de 5%.

 

 

 

 

Analyse d'impacts

L'étape analyse d'impacts est uniquement accessible en mode Etendu

Remarques

Remplissez ici toute remarques relative à votre traitement (optionnel)

 

Privacy by design

Il est possible de lier une ou plusieurs fiches projet à un traitement. 

Pré-requis : pour pouvoir lier un projet à un traitement, il faut que le projet soit déjà existant (à créer dans le menu Privacy by design)

 

Pour lier un projet à votre traitement :

  • Rendez-vous dans la rubrique Privacy by design de votre traitement, et cliquez sur le bouton Ajouter.
  • Dans la fenêtre qui s'ouvre, cocher le ou les projets souhaités et valider
  • Le ou les projets liés sont alors affichés. Pour délier un projet, cliquez sur la croix

 

Actions

Il est possible de lier une ou plusieurs actions à un traitement. 

Pour cela : 

  • Dans la rubrique Actions de votre traitement, cliquez sur Ajouter
  • Remplissez le formulaire de création et cliquez sur Valider 
  • La ou les actions sont alors affichées. Pour délier une action, cliquez sur la croix

Documents

Il est possible de lier un ou plusieurs documents à un traitement.

Pour cela : 

  • Dans la rubrique Documents d'un traitement, cliquez sur Ajouter 
  • Remplissez le formulaire de création / liaison de document et validez
  • Le ou les documents sont alors affichés. Pour délier un document, cliques sur la croix