Comment faire face à l'imprécision de l'article 30 du RGPD

Le RGPD établit plusieurs droits et obligations pour les organisations qui ont besoin d’une assistance logicielle. Tout fournisseur de logiciel doit décider comment interpréter le règlement et dans quels cas il est nécessaire de disposer d'un logiciel pour se conformer au RGPD ou au traitement des données. Compte tenu de l'imprécision de nombreux concepts du RGPD, les fournisseurs en interprètent différemment, ce qui peut avoir des effets différents sur le logiciel.

Par conséquent, relier les différentes offres de logiciels et maintenir les fonctionnalités tout en respectant les exigences de l’article 30 sera un véritable défi.

Voici quelques applications pratiques des connexions logicielles pour la conformité RGPD :

  • Notifications de violation de données aux autorités de contrôle (au lieu de remplir les formulaires Web manuellement)
  • Connexions entre les outils de découverte de données et les registres de l'Article 30 (pour inventorier automatiquement les utilisations des données à caractère personnel)
  • Portabilité des données entre différentes applications logicielles du registre de l'article 30 (cela permet de changer de fournisseur et de conserver les données saisies)
  • Échange d'activités de traitement entre les responsables et les sous-traitants (ce qui permet de remplir plus facilement le registre de l'article 30)

Pour la plupart, ces exemples se réfèrent à l'article 30, qui exige l'enregistrement des activités de traitement. Cependant, d'autres droits et obligations du RGPD concernent la compréhension de la « confidentialité » d'une organisation et, par conséquent, ils seront liés au registre de l'article 30.

Établissement de connexions logicielles dans le logiciel RGPD

Pour établir des connexions logicielles, les applications doivent « se parler » les unes aux autres. Ils le font souvent via la soi-disant « interface de programmation applicative » (API). Mais pour que cela fonctionne, il serait utile de disposer d'un modèle normalisé du RGPD décrivant avec précision certains concepts du règlement, tels que les catégories de données à caractère personnel, de personnes concernées, les responsables et les sous-traitants.

Traitement de données et RGPD

Au cours des derniers mois, nous avons discuté avec plusieurs personnes de la multiplicité des descriptions d’activités de traitement. Par exemple, un sondé avait une connexion au niveau des catégories individuelles de données personnelles au lieu de traitement uniquement. Un autre avait lié des catégories de données personnelles à des catégories de personnes concernées. Et un troisième sondé avait attribué des conditions de conservation aux systèmes à la place des catégories de données personnelles.

Nous savons que ces choix de description ont sa justification, bien qu'ils ne découlent pas littéralement du RGPD. Toute personne qui décrit une activité de traitement aura sa propre approche en fonction de son modèle de gouvernance ainsi que des politiques et des pratiques locales. Le problème est que, lorsque les descriptions varient, il est très difficile de les réutiliser dans d’autres systèmes logiciels.

En l'absence de directives du Comité Européen de la Protection des Données (CEPD), les organisations, cabinets d'avocats, cabinets de conseil et fournisseurs de logiciels de données doivent deviner le sens exact des articles du RGPD —en particulier de l'article 30. En tant qu’avocat, je sais qu’il est impossible de se débarrasser du flou juridique. En fait, les concepts ont rarement une signification binaire.

Bien entendu, le texte du RGPD regorge de compromis politiques permettant aux autorités de contrôle et aux tribunaux de prendre des décisions importantes à une date ultérieure. Cependant, les professionnels de la protection de la vie privée sont très incertains de la conformité. Même l'autorité de contrôle néerlandaise, qui mène actuellement une enquête parmi des organisations de différents secteurs sur le registre de l'article 30, pose ses questions avec prudence.

Un tel niveau d'incertitude nous incite à nous demander : pourquoi l'approche des registres de l'article 30 est-elle si imprécise ? Une description formelle et spécifique des éléments et des relations entre eux, indiquant quelles entités et quelles relations doivent être conservées pour chaque enregistrement de traitement, aurait permis de lever cette incertitude. Cela aurait également facilité la communication automatisée entre les parties prenantes.

Espérons que le CEPD fournira bientôt des indications claires sur le registre de l’article 30. Cela permettra aux responsables et aux sous-traitants du traitement d’être plus sûrs des entités et des relations qui devraient être incluses dans le registre et de préciser le degré de détail de l’inventaire. Sans aucun doute, cela apportera d’accroître la sécurité juridique et d’améliorer l’efficacité du marché des logiciels de conformité RGPD.

Laurens Mommers

COO PrivacyPerfect

rgpd grauit guide

 

Contactez-nous

Avez-vous des questions sur cet article ou souhaitez-vous recevoir plus d'informations sur PrivacyPerfect ? S'il vous plaît, remplissez le formulaire suivant. Nous nous engageons à ne pas vous envoyer de newsletters à moins que vous n'y soyez activement abonné en cochant la case correspondante (décochée par défaut).