Registre des activités de traitement
A teneur de l’article 30 LIPDA, le Préposé cantonal à la protection des données et à la transparence tient un registre des activités de traitement à disposition des autorités. Lesdites autorités doivent ainsi compléter et annoncer toute modification de leurs registres des activités de traitement par le biais de celui-ci. Qui plus est, le registre est public, de sorte qu’il est librement accessible par tout un chacun. La fonction de consultation des registres sera accessibles une fois que plusieurs registres auront été complétés par des autorités.
Avec cet outil, toute personne peut connaître les noms et descriptions des traitements contenant des données personnelles traitées par les autorités, ainsi que le responsable de traitement.
Le registre contient pour chaque activité de traitement des informations sur :
- l'identité et les coordonnées du responsable du traitement ;
- la base légale du traitement ;
- les finalités du traitement ;
- les personnes concernées ou les catégories de personnes concernées ;
- les données personnelles ou les catégories de données personnelles traitées ;
- les destinataires ou les catégories de destinataires des données personnelles si la communication des données personnelles est envisagée, y compris les destinataires dans des pays tiers ou des organisations internationales ;
- la durée de conservation ou, si cela n’est pas possible, les critères pour déterminer cette durée ;
- les mesures visant à garantir la sécurité des données personnelles.
La création et la tenue à jour du registre des activités de traitement est ainsi l’occasion d’identifier et de hiérarchiser les risques au regard de la LIPDA. Cette étape essentielle permet aux autorités d’en déduire un plan d’action de conformité des traitements en lien avec les règles de protection des données.
Dans ce cadre, une application a été développée dans l’optique que les autorités puissent l’utiliser comme instrument pour saisir, mettre à jour ou supprimer leurs annonces d’activités de traitement. De ce fait, l’utilisation de cette plateforme est obligatoire pour la déclaration légale des registres de traitement au Préposé au sens de l’article 30 LIPDA. Les autorités sont libres d'utiliser d'autres instruments pour tenir leur registre des traitements, mais il est possible de le faire également dans cette application. Avec cette solution, le Préposé souhaite apporter une plus-value aux autorités en mettant à leur disposition une solution unifiée qui permet également la traduction en français ou en allemand d’une grande partie de leurs registres des traitements.