Données opérationnelles
L'ensemble des processus et registres nécessaires à la bonne marche opérationnelle de l'entreprise.
- un registre de signature des salariés
- un constat amiable d'accident de voiture de l'entreprise
- une signature de bon de commande
- un ordre de mission
- un droit d'accès à un espace protégé
- ...
Prenons l'exemple suivant:
Une entreprise qui utilise la biométrie pour autoriser l'entrée à un espace particulier (virtuel ou physique) de l'entreprise est typiquement dans le cas de l'utilisation de données personnelles dites "sensibles"; en l'occurrence des données biométriques.
L'intégrité et la confidentialité de ces données doivent être garanti d'un niveau de sécurité particulier.
- 1- la fiche doit être enregistrée au registre des traitements des données personnelles.
- 2- l'entreprise doit être en mesure de répondre à:
- Pourquoi j'utilise cette méthode?
- Quelle elle la base légale de ce traitement?
- Comment sont conservées les données?
- Combien de temps?
- Comment sont elles supprimées?
- L'accès frauduleux à ces données présente t-il un risque pour les personnes concernées? (PIA)
| Finalité | Base légale | Données personnelles | Données sensibles | Durée de conservation | Effacement des données | Transfert hors EU | Sous traitant | Droits des personnes concernées respectés | Sécurité
(Intégrité & confidentialité) |
Sauvegarde
(Disponibilité) |
|---|---|---|---|---|---|---|---|---|---|---|
|
Accès à la salle serveur |
Intérêt légitime |
Décrire les données |
Décrire les données |
Le temps durant lequel la personne a le droit d'accès |
Oui dès la suppression du droit d'accès |
Non |
Oui |
Oui |
Conservé en local sur serveur chiffré et non connecté |
hebdomadaire sur support externe
Vérifée mensuellement |
|
Opération n°2 |
Contrat de travail |
Décrire les données |
Décrire les données |
Durée légale |
oui À la fin de la durée légale |
Non |
Oui |
Oui |
Conservé en local sur serveur chiffré |
Un simple registre comme le tableau ci-dessus permet de répondre en partie aux obligations décrites dans la loi informatique et liberté, en ce qui concerne la tenue d'un registre des activités de traitement de données à caractère personnel.