Registre des traitements

[dbarzin]

Serait-il possible de tenir le registre des traitements avec Mercator ?

Ce registre devrait comporter les informations suivantes :
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
b) les finalités du traitement;
c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées;
f) dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.
(src: https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30)

La table des activités est-elle la table la plus appropriée pour tenir ce registre ?
Des données de la table des processus devrait-elle être déplacées dans la table des activités (ex: informations, applications, ... ) ?

Cette proposition est ouverte à commentaires.

[jfcjm]

Bonjour Didier,
bonne initiative, même s'il sera sans doute difficile de fermer la discussion avant les congés ...

Quelques remarques qui pourront peut-être servir dans la suite de la discussion :

1. Il existe en fait deux registres : le registre des traitements tel que tu le décris et un registre de "sous traitance" décrivant les traitements opérés en tant que sous traitant pour d'autres organismes. La CNIL a des modèles pour ces deux registres.
2. Je pense qu' il manque dans ta description du registre la base légale du traitement ("consentement", "obligation légale", "mission intérêt public", "intéret légitime", ...)
3. L'utilisation d'une base légale pour un traitement peut avoir un impact sur l'architecture du SI. Par exemple : si la licéité d'un traitement est basée sur le consentement des personnes concernées alors il devrait y avoir quelque part une ou plusieurs activités (et/ou des applis et/ou une BD) qui permet de gérer ce consentement (enregistrement, retrait éventuel). Il sera peut-être possible de rattacher des éléments pré-existants de l'archi à l'entrée correspondante du "registre" en fonction de ce choix.
4. L'exercice des droits (demande d'information, demande de rectification, demande de retrait, ....) des personnes concernés ont, bien entendu, aussi un impact sur l'architecture ...

Tout ça ne répond pas pour le moment à ton interrogation sur la localisation (activité/processus), je me propose de regarder ça un peu plus en détail plus tard. Toutefois en particulier : peut-être qu'il vaudrait mieux avoir une table dédiée au registre des traitements, table supplémentaire qui ferait référence à une activité ou un processus selon le niveau de granularité voulu ?

Merci,

Jean-Marie.
PS: je vois que Marc Quinton (@mqu), un précédent committer de mercator, a forké une appli de gestion du registre, il aura peut-être des idées plus précises ...

[mqu]

bonjour à tous ; je ne suis qu'un très modeste contributeur à Mercator ; j'ai apporté un peu d'aide sur la doc et la dockerisation. Et pour l'instant, l'usage en interne pour nos besoins semble abandonné, à mon plus grand regret. Je ne suis que simple prescriteur et exploitation dans ce cas précis.

Je vois que Didier tient la barre et conserve le cap ; bravo.

[jfcjm]

Pas de problème :) Je ne suis moi-même qu'un modeste contributeur.
Juste, j'avais remarqué à la fois le fork de mercator et celui de gdpr-registry-app dans vos repos et en avais déduit que vous auriez peut-être, du coup, des retours éventuels sur la proposition de Didier. Sans savoir si leur utilisation/expériementation était toujours d'actualité pour vous.

J.-M.

[dbarzin]

Une proposition de gestion du registre des activités de traitement est ouverte à commentaires.
Cordialement,
Didier