En vertu de la directive européenne sur la protection de la vie privée et de ses lois nationales de mise en œuvre, les entreprises devaient encore déclarer les traitements à l`autorité des données personnelles. L`autorité a tenu un registre des opérations de traitement qui lui ont été notifiées. Ce registre était ouvert à l`inspection publique sans frais. En vertu du RGPD, le «devoir de déclarer» est remplacé par un «devoir d`enregistrement». Au lieu de déclarer les opérations de traitement à l`autorité des données personnelles, les organisations doivent maintenant tenir des registres des opérations de traitement dans leur propre registre. Attention! La déclaration des fuites de données reste obligatoire dans le cadre du RGPD. Il n`est guère surprenant que seulement 1,64% des entreprises se sentent pleinement prêtes pour le règlement général sur la protection des données. Le règlement général sur la protection des données vous oblige à tenir des registres à des fins de traitement, de partage des données et de rétention. Et si l`ICO veut vos dossiers, vous allez devoir rendre tous les dossiers disponibles sur demande (c.-à-d. pas plus de ceci). L`article 30 du RGPD crée ainsi un nouveau type d`obligation de documentation. Cette obligation n`est pas seulement nouvelle pour les entreprises américaines – à ce jour, la plupart des États de l`UE n`ont pas exigé que les entreprises maintiennent des registres internes de la façon dont elles traitent les données à caractère personnel. (Au lieu de cela, les notifications aux autorités chargées de la protection des données (APD) ont souvent servi à commémorer les activités de traitement de clés des organisations.) Le seul État membre de l`UE ayant une exigence comparable à l`article 30 du RGPD est l`Allemagne, qui a exigé des entreprises qu`elles maintiennent un « Aperçu » écrit des activités de traitement.

Mais même en Allemagne, il est difficile de déterminer combien d`entreprises se sont pleinement conformées à cette obligation (comme un exemple plus éminent, un audit du département d`état de l`Allemagne a découvert qu`il n`avait pas créé les registres mandatés de ses activités de traitement, d`une réprimande de la DPA fédérale allemande). Parallèlement à la fourniture de ces dossiers de traitement de modèle, la DSK a également publié des lignes directrices pour les dossiers de traitement de l`article 30 (disponibles en allemand ici). Les lignes directrices contiennent des informations utiles sur la façon dont les DPAs allemands s`attendent à ce que les enregistrements de l`article 30 soient soumis au RGPD: lors de notre récent atelier sur la protection des données, Kate Armitage, responsable de l`assurance qualité des produits chez qualsys, a déclaré que de nombreuses entreprises va instantanément se tourner vers des feuilles de calcul pour gérer leur registre de traitement des données. Cependant, il y a d`autres options dont vous voudrez être conscient. Kate a dit: étant donné la nouveauté des exigences du RGPD, les entreprises ont exprimé un vif intérêt lorsque, à l`été de 2016, les DPAs allemands ont annoncé qu`ils publieraient un «modèle d`opérations de traitement de l`indice» pour orienter la conformité des entreprises à l`article 30. Depuis la semaine dernière, cet indice de modèle est arrivé. La gestion des risques est une exigence essentielle du règlement général sur la protection des données. Risk Manager vous permet de catégoriser, d`identifier, de suggérer, de gérer et de signaler les risques. En guise de note finale, les entreprises qui ont commencé à cataloger de manière exhaustive leurs flux de données ou leurs actifs informatiques pour servir de base aux dossiers de traitement de l`article 30 ne devraient pas cesser simplement parce que les dossiers de traitement des modèles de la DSK ne requièrent pas de niveau de débit ou détail au niveau de l`application. La demande d`un DPA pour les dossiers de l`article 30 peut être la première étape d`une enquête plus large, et le suivi de « puissions-nous voir vos enregistrements de l`article 30 » peut nécessiter une connaissance détaillée de tous les actifs et flux de données informatiques sous-jacents, par exemple, les utilisations des données client.

Le problème avec les feuilles de calcul est qu`ils ne s`intègrent pas à vos autres processus d`entreprise. Il rend la gestion du changement extrêmement difficile. Vous ne devez pas seulement être conforme le 25 mai, vous devez être conforme au règlement général sur la protection des données chaque jour, ou risquer d`énormes amendes. Vous allez avoir besoin d`établir des processus robustes qui vous permettent systématiquement de gérer les risques. Toutefois, le règlement général sur la protection des données ne prescrit pas exactement comment vous devez gérer les données, sauf que «la plupart des organisations bénéficieront de l`entretien électronique de leurs dossiers». Ces « dossiers de traitement des modèles » de l`article 30 ont été publiés par la Conférence allemande des autorités indépendantes de protection des données fédérales et étatiques, communément appelées la DSK ou « Datenschutzkonferenz » (Conférence sur la protection des données).