Accueil Faq 0.7 GÉNÉRALITÉS : Qu’est-ce qu'un « Privacy Audit Trail » et quelle est la part de responsabilité de mon organisation en la matière ?

0.7 GÉNÉRALITÉS : Qu’est-ce qu'un « Privacy Audit Trail » et quelle est la part de responsabilité de mon organisation en la matière ?

Les données confidentielles, comme les données à caractère personnel, ne peuvent être traitées que si ce traitement a un fondement légal. C'est pourquoi une autorisation préalable doit toujours être obtenue pour accéder à ces données. Cette autorisation détermine et valide la finalité et la proportionnalité liées à l'utilisation de ces données.
La finalité est un but bien déterminé, expressément défini et autorisé.
La proportionnalité signifie que les données sont adéquates et pertinentes et ne peuvent pas être excessives au regard de la finalité pour laquelle elles sont obtenues et pour laquelle elles seront traitées ultérieurement. Les données ne peuvent pas non plus être conservées plus longtemps que la période strictement nécessaire à la finalité autorisée.
C'est pourquoi tout partenaire impliqué (organisation consommatrice-intégrateur(s) de services-propriétaire d'une source de données) doit tenir à jour pendant 10 ans des « audit logs » afin de pouvoir vérifier qui a consulté ou modifié quelles données à quel moment. Pour éviter que chaque partenaire tienne à jour toutes les données et travaille donc individuellement de manière disproportionnée et menace la vie privée tant de l'utilisateur final que de la personne dont les données sont consultées, un « Privacy Audit Trail » doit être convenu entre les partenaires concernés de la chaîne.
Le schéma ci-dessous montre un exemple de « Privacy Audit Trail ». En principe, l'organisation consommatrice doit uniquement tenir à jour qui a introduit une demande et quand et pour quelle finalité. Dans ce cas, le propriétaire de la source de données doit uniquement tenir à jour quelles données ont été consultées et quand. Ensuite, l'intégrateur de services pourra, à l'aide de la finalité et du « message ID » unique des partenaires, établir le lien entre les deux. Le « Privacy Audit Trail » peut ainsi toujours être retracé quand les « audit logs » de tous les partenaires sont réunis. Ceci doit donc correctement être convenu et testé.

Service Integrator (FSB)