Modèle d'auditCollecte de traitement de données

Indiquez le nom du traitement de données. En pratique, le traitement correspond à l'activité qui implique la mise en oeuvre d'un ou plusieurs traitements de données. Par exemple, la gestion des clients ou encore la gestion des évenements. En savoir plus sur notre base de connaissance.

Décrivez votre traitement de données

L'état du traitement correspond au statut d'implémentation de votre traitement de données au sein de votre organisation. Conseil : ne publiez que les traitements mis en production.

Cette information, non obligatoire pour la tenue du registre, vous permet de cartographier la chaîne applicative liant les données entre elles.

Sélectionnez les champs de données personnelles qui seront présents dans votre jeu de données

Indiquez ici les durées de conservation applicables à ce jeu de donnée.

Indiquez ici les durées de conservation applicables à ce jeu de donnée.

Indiquez ici les durées de conservation applicables à ce jeu de donnée.

Une personne concernée est toute personne dont les données sont collectées, retenues ou traitées par le traitement de données en question.
Ex : Dans le cadre d'un traitement de gestion du recrutement, n'importe quel candidat pour le poste concerné constitue une personne concernée.

Le droit à l'information est la réalisation concrète de la transparence requise par le RGPD. Vous devez informer les personnes concernées par le traitement lors de la collecte des données ou, en cas de collecte indirecte, dans le mois suivant la collecte ou lors de la premiere communication.

Le droit à l'effacement permet à la personne concernée de solliciter la suppression des données qui la concernent. Ce droit ne s'applique pas si le traitement est fondé sur une l'intérêt public ou sur une obligation légale. Lorsque votre traitement est fondé sur l’obligation légale, le droit à l’effacement peut s’appliquer si le traitement répond aux conditions suivantes :

• les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière

• ou les données à caractère personnel ont fait l'objet d'un traitement illicite

• ou les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'UE ou par le droit de l'État membre auquel le responsable du traitement est soumis.

Par exemple, un traitement d’analyse des usages d’internautes afin de créer des profils comportementaux ou marketing.

Le traitement conduit à une décision automatisée avec effet légal sur la personne ou a pour objet d’aider à la décision ayant un effet légal sur une personne ou qui l’affecte de manière significative. Par exemple, le traitement conduit à une discrimination ou à l’exclusion. Si le traitement ne conduit que très peu d’effet, il ne sera pas concerné.

Le traitement est utilisé pour observer, surveiller ou contrôler les personnes concernées. Les personnes ne peuvent pas se soustraire à ce traitement. Par exemple, la surveillance systématique sur les réseaux ou dans l’espace public.

Données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l’orientation sexuelle) ou données à caractère hautement personnel (données relatives à des communications électroniques, données de localisation, données financières, etc) et données relatives à des condamnations pénales, infractions ou mesures de sûreté.

Il n’existe pas de seuil, applicable à toute situation, à partir duquel le traitement serait considéré comme mis en œuvre à « grande échelle ». Il faut prendre en compte le nombre de personnes concernées, le volume de données ou le spectre des données, la durée ou la permanence du traitement et l’étendue géographique du traitement. En pratique, il convient de prendre les mêmes critères que pour la désignation du DPO.

Cela implique un croisement de données issues de traitements différents mis en œuvre par un ou plusieurs responsables de traitement qui outrepasserait les attentes raisonnables de la personne concernée. Autrement dit, à quel traitement la personne peut-elle s’attendre dans le contexte de la collecte des données ? Plus il sera inattendu ou surprenant, plus il dépassera les attentes raisonnables.

Il s’agit des données relatives à des personnes qui se trouveraient dans une situation de déséquilibre accru dans la relation avec le responsable du traitement. Par exemple de données de patients, personnes âgées, enfant, demandeurs d’asile etc. Dans une certaine mesure, il peut s’agir de données relatives à des employés au regard du lien de subordination avec l’employeur.

L’usage d’une nouvelle technologie ou d’un usage innovant doit correspondre à quelque chose dont on maitrise peu ou pas les conséquences personnelles ou sociales et qu’on a pas assez de recul sur l’impact sur les personnes concernées. Par exemple, les applications de l’internet des objets ou la combinaison d’empreintes digitales et de reconnaissance faciale pour faire du contrôle d’accès.

Les opérations qui conduisent à autoriser, modifier ou refuser l’accès à un service ou la conclusion d’un contrat. Par exemple, un outil de scoring dans le cadre d’un prêt bancaire.