GDPR

Document de responsabilité Pinakes

Objet

L’objet du présent document est de démonter la manière dont Pinakes respecte les obligations exposées par le RGPD[1]. Pour tout complément d’information ou pour des informations supplémentaires, n’hésitez pas à contacter le DPD de Pinakes via dpo@pinakes.be ou à l'adresse; Boulevard de l'Empereur 34, 1000 Bruxelles.

Comment Pinakes respecte-t-elle les principes de base en termes de traitement de données à caractère personnel?

Pinakes respecte à tout moment les principes de base en termes de traitement de données à caractère personnel. Nous expliquons ci-dessous la manière dont Pinakes respecte chaque principe.

a) Comment Pinakes garantit-elle la licéité, la loyauté et la transparence des traitements ?

La licéité implique que les traitements soient conformes aux règles et principes en vigueur. La loyauté et la transparence signifient que des données à caractère personnel ne soient pas traitées pour des finalités et d’une manière qui ne soient pas communiquées correctement à la personne concernée.

Pinakes informe les personnes concernées de manière succincte, transparente, claire et compréhensible par e-mail, via une Déclaration relative au respect de la vie privée et une Déclaration en matière de cookies concernant le traitement de leurs données à caractère personnel et de leurs droits. Le DPD de Pinakes fait office d’interlocuteur pour les personnes concernées qui ont des questions à propos de certains traitements. Il est ainsi possible d’informer au mieux les personnes concernées sur le traitement de leurs données à caractère personnel.

b) Comment Pinakes respecte-t-elle le principe de limitation des finalités ?

Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. Pinakes ne traite pas les données à caractère personnel pour d’autres finalités que celles communiquées à la personne concernée.

Pinakes traite les données à caractère personnel uniquement pour les finalités qu’elle communique clairement aux personnes concernées, préalablement au traitement.

Ainsi, Pinakes traite par exemple des données de personnes actives dans le secteur public pour deux finalités déterminées, compatibles l’une avec l’autre :

Primo, Pinakes traite leurs données à caractère personnel lorsqu’elle propose sa banque de données à ses clients. La banque de données Pinakes contribue à une communication efficace entre institutions privées et publiques et personnes actives dans le secteur public tels que des mandataires politiques, fonctionnaires dirigeants et décideurs. Pinakes propose sa banque de données contre paiement à ses clients et facilite un plan de communication élaboré, mais contribue aussi à simplifier la recherche d’un contact spécifique avec une personne du secteur public.

Secundo, Pinakes traite leurs données à caractère personnel quand elle propose une newsletter à des personnes qui se sont inscrites dans la banque de données, dans laquelle il est par exemple fait référence à une nomination ou une nouvelle désignation d’une personne spécifique.

Pinakes impose à tous ses clients des limitations à l’utilisation commerciale de données. Les clients ne peuvent jamais traiter sans autorisation des données de personnes qui sont reprises dans la banque de données Pinakes.

c) Comment Pinakes répond-elle au principe de minimisation des données ?

Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Autrement dit, seules peuvent être traitées les données à caractère personnel qui sont nécessaires pour atteindre les finalités pour lesquelles elles ont été collectées. Pinakes veille attentivement à traiter uniquement des données à caractère personnel nécessaires pour atteindre une finalité donnée.

Pinakes intègre par exemple dans sa banque de données uniquement des informations nécessaires pour garantir une communication aisée entre ses clients et les personnes actives dans les secteurs publics. Il s’agit de données d’identité de base, d’informations relatives à l’emploi telles que des informations sur la fonction et le nom de l’organisation dans laquelle la personne concernée travaille, d’informations relatives à l’appartenance politique (si la personne concernée exerce une fonction politique) et d’informations sur la langue parlée par la personne concernée.

Le SPF Santé publique doit, par exemple, disposer d’informations sur les membres du comité de direction d’hôpitaux universitaires en Flandre en cas d’aide médicale urgente, comme une épidémie. Dans ce cas, le SPF Santé publique a tout intérêt à consulter des données d’identité de base et des informations relatives à la fonction des membres d’un tel comité de direction.

d) Comment Pinakes garantit-elle l’exactitude de ses données ?

Les données à caractère personnel doivent être exactes et complètes, et si nécessaire, tenues à jour.

La banque de données Pinakes est devenue incontournable dans la rapidité de communication entre institutions privées et publiques et les personnes actives dans le secteur public. Pour maintenir sa renommée et garantir un service de qualité, Pinakes a tout intérêt à ce que sa banque de données soit la plus complète et la plus exacte possible. Pour y parvenir, Pinakes réalise des contrôles réguliers afin de s’assurer que les données qu’elle collecte dans sa banque de données sont (encore et toujours) précises. Pour ce faire, Pinakes contrôle très régulièrement des publications / banques de données rendues accessibles par des instances officielles, telles que le Moniteur belge, examine régulièrement les sites Web ou médias sociaux des personnes concernées, et consulte les banques de données rendues publiques par des tiers. En outre, Pinakes contacte régulièrement des institutions ou administrations publiques afin de contrôler l’exactitude des données de personnes actives auprès de l’une de ces institutions ou administrations. Grâce à ces contrôles réguliers, Pinakes est en mesure de proposer une banque de données de très grande qualité et très complète.

e) Pendant combien de temps Pinakes conserve-t-elle les données ?

Les données à caractère personnel peuvent être (a) traitées et conservées par Pinakes pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; et (b) traitées ultérieurement et conservées à des fins compatibles avec la finalité initiale du traitement. Dès que cette finalité cesse d’exister, Pinakes pseudonymisera les données à caractère personnel.

Quand, par exemple, un fonctionnaire donné passe dans le secteur privé, Pinakes pseudonymisera les informations le concernant.

f) Comment Pinakes sécurise-t-elle les données ?

Pinakes doit garantir l’intégrité et la confidentialité des données à caractère personnel.

Pinakes traite les données à caractère personnel comme des données commerciales confidentielles. Il est primordial pour Pinakes de sécuriser le mieux possible les données en sa possession. En outre, Pinakes sélectionne minutieusement ses prestataires de services et souhaite collaborer uniquement avec des intervenants offrant les indispensables garanties de sécurité et qui signent une clause de confidentialité.

Pinakes prend les mesures de sécurité suivantes :

• empêcher que des personnes non autorisées accèdent à l’équipement de traitement de données à caractère personnel (contrôle de l’accès à l’équipement) ;
• éviter que des personnes non autorisées lisent, copient, modifient ou effacent les supports de données (contrôle des supports de données) ;
• empêcher que des personnes non autorisées saisissent des données ou consultent, modifient ou suppriment des données conservées (contrôle de la conservation) ;
• éviter que des personnes non autorisées utilisent les systèmes de traitement automatisé des données au moyen de matériel de transmission de données (contrôle des utilisateurs) ;
• veiller à ce que les personnes autorisées à utiliser un système de traitement de données automatique aient uniquement accès aux données auxquelles se rapportent leur droit d’accès (contrôle de l’accès aux données) ;
• veiller à ce qu’il soit possible de vérifier et de constater à quels organes des données à caractère personnel sont ou peuvent être fournies ou mises à disposition au moyen de matériel de transmission de données (contrôle de la transmission) ;
• veiller à ce qu’il soit possible de vérifier et constater ultérieurement quelles données à caractère personnel ont été saisies par qui et quand dans un système automatisé de traitement de données (contrôle de la saisie) ;
• éviter que des personnes non autorisées lisent, copient, modifient ou suppriment les données à caractère personnel lors du transfert de celles-ci ou du transport de supports de données (contrôle du transfert) ;
• veiller à ce que les systèmes utilisés puissent être réactivés en cas de panne (réactivation) ;
• veiller à ce que les fonctions du système soient opérationnelles, que les éventuelles pannes fonctionnelles soient signalées (fiabilité) et que les données conservées ne puissent être endommagées en raison d’un fonctionnement défectueux du système (intégrité).

g) Comment Pinakes apporte-t-elle la preuve du respect des principes ?

Pinakes doit démontrer qu’elle respecte tous les principes ci-dessus.

Pinakes atteste la manière dont elle respecte les principes par le biais du présent document. Pinakes tient à jour un registre détaillé comportant des informations sur l’activité de traitement dont elle a la responsabilité. En outre, Pinakes tient à jour les conseils de son DPD, ainsi que les informations en cas de fuite de données et les décisions qui en découlent. Pinakes tiendra également à jour une AIPD si celle-ci doit être réalisée.

Quel fondement juridique Pinakes invoque-t-elle?

Pour pouvoir traiter des données à caractère personnel, Pinakes doit pouvoir invoquer un fondement juridique. La loi décrit de manière limitative ces fondements, dont le consentement de la personne concernée, l’exécution d'un contrat, l’intérêt légitime du responsable du traitement ou d’un tiers ou la législation applicable.

Vous trouverez ci-dessous le fondement juridique applicable pour les principales activités de traitement.

a) Quel fondement juridique Pinakes invoque-t-elle pour sa banque de données ?

Pinakes est un spécialiste des contacts publics et possède une banque de données très étendue. La banque de données Pinakes est son activité principale et elle contribue à une communication efficace entre institutions privées et publiques et les personnes actives dans le secteur public. Pinakes propose sa banque de données à ses clients contre paiement. Cela facilite un plan de communication élaboré, mais contribue aussi à simplifier la recherche d’un contact spécifique avec une personne du secteur public.

La banque de données Pinakes contient des données telles que des données d’identité de base, des informations relatives aux études et à l’emploi telles que des informations sur la fonction et le nom de l’organisation dans laquelle la personne concernée travaille, des informations relatives à l’appartenance politique quand la personne concernée exerce une fonction politique, une photo de la personne concernée, des informations du profil de la personne concernée sur les médias sociaux tels que LinkedIn ou Twitter et des informations sur la langue parlée par la personne concernée. Les informations ci-dessus revêtent, selon le cas, une extrême importance pour contacter les personnes adéquates.

Grâce à la banque de données Pinakes, les comités de direction de tous les hôpitaux de Flandre peuvent ainsi communiquer très efficacement entre eux et avec le SPF Santé publique en cas d’épidémie. Par ailleurs, un chef d’établissement d’une prison flamande peut contacter très rapidement le directeur général de l’administration pénitentiaire en consultant la banque de données en cas de problème avec un service donné ou avec un détenu. L’existence de la banque de données est importante tant pour les personnes qui sont reprises dans cette banque de données Pinakes que pour les clients de Pinakes. Comme les exemples ci-dessus le montrent, les personnes actives dans les secteurs publics ont tout intérêt à figurer dans la banque de données Pinakes. Mieux encore, elles demandent souvent à être reprises dans la banque de données. Pinakes est en contact direct avec toutes les personnes concernées en les informant toujours qu’elles seront reprises dans la banque de données Pinakes.

Pinakes collecte des informations sur des personnes actives dans le secteur public en contrôlant des publications / banques de données rendues accessibles par des instances officielles, telles que le Moniteur belge. Ensuite, Pinakes contrôle les sites Web ou médias sociaux de ces personnes, ainsi que les banques de données rendues publiques par des tiers. En outre, Pinakes contacte régulièrement des institutions ou administrations publiques (par exemple secrétaires communaux) afin de vérifier l’exactitude des données. Cela limite énormément le risque d’inclure des personnes dans la banque de données alors qu’elles n’occupent plus une fonction dans le secteur public.

En outre, Pinakes ne permet pas à ses clients d’utiliser sans son consentement les données à des fins commerciales. La composante sociale est centrale pour Pinakes qui l’indique clairement à ses clients.

Pinakes traite ces données à caractère personnel sur la base de son intérêt légitime, à savoir mettre sa banque de données à la disposition de ses clients.

Une autre réglementation est applicable en ce qui concerne les informations relative à l’appartenance politique d’une personne qui exerce une fonction politique. Ce traitement est en principe interdit, mais est néanmoins autorisé dans ce cadre. Cette exception découle du fait que l’exercice d’une fonction politique implique automatiquement que ces informations soient manifestement rendues publiques par cette personne. En occupant sa position, le mandataire politique rend automatiquement et irréfutablement publiques des informations sur son appartenance politique.

b) Quel fondement juridique Pinakes invoque-t-elle pour d’autres motifs de traitement ?

Comme nous l’expliquons en détail dans la Déclaration relative au respect de la vie privée et la Déclaration en matière de cookies, Pinakes traite aussi des données à caractère personnel pour d’autres finalités. Un certain nombre de motifs de traitement sont exposés ci-dessous.

Envoi de newsletters

i. Quand une personne concernée souhaite recevoir la newsletter Pinakes, Pinakes traite des données à caractère personnel de la personne concernée.

Pinakes envoie à la personne concernée des newsletters à la seule condition d’avoir reçu de cette personne son consentement, conformément à l’article XII.13 (e.s.) du Code de droit économique. Cet article stipule que l'utilisation du courrier électronique à des fins de publicité est interdite, sans le consentement préalable, libre, spécifique et informé du destinataire des messages.

Pinakes consigne le consentement des personnes concernées qui sont reprises dans un fichier de publipostage.

En outre, Pinakes donne à ses clients la possibilité d’un « opt-out ». Ainsi, chaque e-mail comportant une newsletter donne aux personnes concernées la possibilité de se désabonner. Pinakes le consigne via la plate-forme de marketing automation. Pinakes n’envoie jamais de newsletters à des personnes qui se sont désabonnées.

ii. La newsletter contient également des données à caractère personnel de mandataires politiques, de fonctionnaires dirigeants et de décideurs.

Pinakes traite des données de mandataires politiques, de fonctionnaires dirigeants et de décideurs afin d’informer les personnes qui s’abonnent à la newsletter de nominations (comme une prestation de serment, une nouvelle désignation, ...).

Ce traitement est nécessaire pour représenter l’intérêt légitime de Pinakes. L’impact sur les droits et libertés des personnes concernées est relativement minime. Souvent, les personnes qui sont nommées ont tout intérêt à ce que d’autres soient informés du fait qu’ils exercent désormais la nouvelle fonction.

iii. Améliorer l’offre

Pour améliorer l’offre, Pinakes prend les mesures suivantes : la segmentation de clients potentiels et clients existants, l’analyse des habitudes et préférences des personnes concernées (sur la base de l’utilisation par la personne concernée des services de Pinakes), l’analyse de l’interaction avec Pinakes via les différents canaux tels qu’e-mails, messages de médias sociaux ou une visite du site Web de Pinakes et la comparaison des produits et services que les personnes concernées ont déjà utilisés avec d’autres données dont Pinakes dispose à propos des personnes concernées.

Ce traitement est nécessaire pour représenter son intérêt légitime. L’impact sur les droits et libertés des personnes concernées est relativement minime. Les personnes concernées ont même intérêt à ce que l’offre soit améliorée et davantage personnalisée.

Pinakes a-t-elle désigné un DPD?

Dans un certain nombre de cas, la désignation d'un DPD est obligatoire.

L’activité principale de Pinakes consiste à mettre en contact des institutions publiques et privées de l’Europe entière avec des personnes actives dans le secteur public afin de pouvoir les informer de données qui les intéressent. Pour permettre une communication aisée, Pinakes a mis sur pied une banque de données contenant des données de contact et d’autres informations pouvant être pertinentes pour ces personnes. La banque de données Pinakes contient des informations sur plus de 135 000 mandataires politiques, fonctionnaires et dirigeants de Belgique, du Luxembourg et des institutions européennes, dont des informations révélant l’appartenance politique de personnes qui exercent une fonction politique.

Pinakes a désigné un DPD pour cette raison. Les données de contact du DPD de Pinakes sont dpo@pinakes.be ou Boulevard de l'Empereur 34, 1000 Bruxelles.

Pinakes a-t-elle réalisé une AIPD?

Dans un certain nombre de cas, le RGPD est contraint de réaliser une Analyse d’impact relative à la protection des données (ou AIPD).

La considération 171 du RGPD dispose que les autorisations qui ont été accordées par une autorités de protection de la vie privée concernant un traitement du passé demeurent en vigueur jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées. Dans le passé, Pinakes a obtenu une telle autorisation de la Commission de la vie privée de l’époque. Depuis lors, les traitements réalisés par Pinakes sont restés quasi inchangés. Le Groupe de travail de l’article 29 détermine, dans son avis relatif aux AIPD, qu’une AIPD n’est pas nécessaire pour les traitements soumis à une autorité de contrôle, conformément à l’article 20 de la Directive (ancienne) 95/46/CE.[2]

Sur la base de ce qui précède, Pinakes n’a pas réalisé d’AIPD. En outre, Pinakes estime également que même si ce qui précède ne devait pas être d’application, il n’existe actuellement aucune raison de supposer qu’elle serait contrainte de réaliser une AIPD. Par conséquent, Pinakes ne réalisera pas (provisoirement) d’AIPD, à moins que compte tenu des conditions de réalisation d’une AIPD, il y ait lieu d’en effectuer une à l’avenir. Le cas échéant, Pinakes examinera et évaluera en concertation avec son DPD l’opportunité de réaliser une AIPD ou non. Si Pinakes décide de ne pas réaliser d’AIPD, elle documentera la raison de cette décision.

Comment Pinakes informe-t-elle les personnes concernées?

Chaque personne concernée doit être informée de manière claire, facilement accessible, succincte, transparente et compréhensible de tous les éléments importants du traitement de ses données à caractère personnel. Ces informations doivent indiquer la finalité du traitement, les données d’identification de Pinakes, les droits accordés aux personnes concernées, ainsi que d’autres informations relatives à leur traitement, pour autant que cela soit nécessaire pour garantir la loyauté.

Pinakes informe les personnes concernées de manière adéquate :

• Pinakes prévoit une Déclaration générale relative au respect de la vie privée. La Déclaration relative au respect de la vie privée est publiée sur le site Web de Pinakes. Cette déclaration décrit la manière dont sont traités les visiteurs du site Web de Pinakes, ses clients ainsi que ses collaborateurs et les personnes qui sont repris dans la banque de données Pinakes (autrement dit, mandataires politiques, fonctionnaires dirigeants et décideurs). Ensuite, Pinakes envoie, au plus tard 2 semaines après qu’une (nouvelle) personne concernée a été reprise dans la banque de données Pinakes, un e-mail à cette personne concernée l’informant que ses données à caractère personnel seront utilisées afin de communiquer avec elle, avant de reprendre cette dernière dans la banque de données Pinakes.
• Pinakes prévoit une Déclaration en matière de cookies qui est publiée sur son site Web.
• Tant la Déclaration relative au respect de la vie privée que la Déclaration en matière de cookies sont disponibles en français, néerlandais et anglais. Les personnes concernées sont dès lors informées dans leur propre langue ou du moins dans une langue qu’ils connaissent suffisamment.
• Dans toutes ses communications, Pinakes prévoit, dans une bannière placée sous la signature électronique, un lien vers la Déclaration relative au respect de la vie privée qui est disponible sur le site Web. Cela permet toujours aux personnes concernées de consulter la Déclaration relative au respect de la vie privée de manière très efficace.
• Pinakes informe les personnes concernées de manière détaillée à propos de leurs droits par le biais de la Déclaration relative au respect de la vie privée.

Comment Pinakes traite-t-elle les droits des personnes concernées?

Pinakes attache beaucoup d’importance aux personnes actives dans les secteurs publics et aux autres personnes concernées dont elle traite les données à caractère personnel. Les informations relatives aux décideurs constituent la pierre angulaire de la banque de données Pinakes et sont extrêmement importantes pour Pinakes et ses clients.

Pour Pinakes, il va dès lors de soi d'informer suffisamment les personnes concernées à propos de leurs droits. La Déclaration relative au respect de la vie privée de Pinakes expose de manière détaillée les implications de chaque droit.

En outre, Pinakes met tout en œuvre pour assister au mieux la personne concernée quand cette dernière souhaite exercer un droit relatif à ses données à caractère personnel.

Le DPD de Pinakes est désigné comme interlocuteur des personnes concernées. Lorsqu’une personne concernée formule une demande, le DPD en assurera le suivi et le traitement. Le DPD de Pinakes réagit d’une double manière à chaque demande :

• Le DPD informe immédiatement chaque personne concernée qu’il a reçu sa demande et qu’il l’informera, dans le mois, de la suite réservée à celle-ci ;
• Le DPD informe chaque personne concernée, dans le mois, de la suite réservée à la demande.

Pour respecter la vie privée d’autres personnes concernées et garantir qu’il ne sera pas fait un mauvais usage des informations relatives aux personnes concernées, Pinakes demandera toujours une preuve d’identité avant d’accéder à la demande. Le DPD peut ainsi demander à la personne concernée une copie d’une pièce d’identité délivrée par les autorités, à l’instar d’une carte d’identité, d’un permis de séjour, d’une carte de sécurité sociale ou d’un permis de conduire, qui est toujours valable et qui mentionne au moins le nom et la date de naissance de la personne concernée.

Lorsque des données sont traitées en vue du marketing direct, la personne concernée doit pouvoir s’opposer gratuitement au traitement de ses données pour de telles finalités. Le formulaire d’enquête attire notamment l’attention sur le droit d’opposition au marketing. Les personnes concernées reçoivent aussi toujours un e-mail les en informant clairement.

Comment Pinakes sécurise-t-elle les données à caractère personnel?

Un responsable du traitement doit prendre des mesures techniques et organisationnelles adéquates pour garantir la sécurité des données à caractère personnel. Ces mesures sont évaluées et actualisées le cas échéant. En outre, tous les membres de Pinakes sont tenus de garantir la confidentialité.

Pinakes prend des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel de personnes concernées contre un accès non autorisé ou un vol, une perte, une falsification ou une destruction d'origine accidentelle. Elle souhaite collaborer uniquement avec des tiers offrant le même niveau de protection et conclut avec ceux-ci une convention reprenant les dispositions relatives aux mesures de sécurité et à la confidentialité. La sécurité et la protection sont des obligations de moyens et on ne peut jamais exclure avec certitude qu’il n’y aura pas d’incidents.

Pinakes a-t-ell conclu les conventions nécessaires?

Le responsable du traitement doit conclure des conventions avec certains tiers tels que les sous-traitants et les responsables conjoints.

Pour certains services, Pinakes fait également appel à des tiers. Ainsi, Pinakes collabore par exemple avec une entreprise informatique pour la gestion du site Web. Pour s’acquitter comme il se doit de leur service, des intervenants traitent également des données à caractère personnel au nom de Pinakes. Pinakes sélectionne minutieusement ses prestataires de services et souhaite collaborer uniquement avec des intervenants offrant les indispensables garanties de sécurité. Pinakes conclut, avec chaque tiers qui traite des données à caractère personnel en son nom une convention comportant les éléments imposés par l’article 28 du RGPD. Cette convention comporte des instructions écrites de Pinakes et dispose que les tiers doivent garantir la sécurité des données à caractère personnel et qu’ils sont tenus de respecter la confidentialité. Pinakes collabore uniquement avec des prestataires de services établis au sein de l’Espace économique européen.

Pinakes ne se trouve pas, à ce jour, dans une situation de responsabilité conjointe avec une autre organisation. En cas de changement futur, Pinakes conclurait, conformément à l’article 26 du RGPD, une convention de responsabilité conjointe et la mettrait à la disposition des personnes concernées.

Comment Pinakes réagit-elle à des fuites de données?

Une violation relative à des données à caractère personnel ou une fuite de données désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Pinakes prend des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel de personnes concernées contre un accès non autorisé ou un vol, une perte, une falsification ou une destruction d'origine accidentelle. Elle souhaite collaborer uniquement avec des tiers offrant le même niveau de protection et conclut avec ceux-ci une convention reprenant les dispositions relatives aux mesures de sécurité et à la confidentialité. La sécurité et la protection sont des obligations de moyens et il n’est malheureusement pas possible d’éviter des fuites de données.

Pinakes a mis sur pied une procédure visant à réagir à temps et de manière appropriée et tenter de limiter ainsi le dommage dans la mesure du possible. Le cas échéant, Pinakes en informera l’Autorité de protection des données (dans les 72 heures) et les personnes concernées.

Registre des activités de traitement

Pinakes tient un registre des activités de traitement qui ont lieu sous sa responsabilité. Ce registre contient des informations notamment sur la finalité du traitement, le fondement juridique du traitement, les catégories de données à caractère personnel et de personnes concernées, etc.

Pinakes conserve le registre dans une liste Excel et dresse la liste, par activité de traitement, de tous les éléments obligatoires de l’article 30 du RGPD. Pour l’établissement du registre, Pinakes a eu recours à la liste Excel publiée par l’Autorité de protection des données. Pinakes complète le registre quand de nouvelles activités de traitement viennent s’ajouter ou modifie les activités de traitement existantes de manière périodique (au moins 1x par an) afin d’assurer la mise à jour du registre.

[1] Le Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la Directive 95/46/CE (« RGPD »).

[2] Voir opinion WP 248 rev.01, « Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement 2016/679 », 16-17.