Dans le cadre de leur plan d'action pour se mettre en conformité avec les exigences de la LIPDA, les autorités doivent tenir un registre de traitement des données personnelles.

Pour être en capacité de mesurer l’impact de la LIPDA sur l’activité de l’autorité et de répondre à cette exigence, celles-ci doivent au préalable recenser précisément :

• Les différents traitements de données personnelles ;
• Les catégories de données personnelles traitées ;
• Les objectifs poursuivis par les opérations de traitements de données ;
• Les acteurs (internes ou externes) qui traitent ces données. Les autorités doivent notamment clairement identifier les prestataires sous-traitants afin d’actualiser les contrats avec ceux-ci ;
• Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de Suisse et/ou de l’Union Européenne.

En d’autres termes, pour chaque traitement de données personnelles, il y a lieu de se poser les questions suivantes :

• Qui est le responsable du traitement ?
• Quelles sont les catégories de données personnelles traitées, et identifier les données sensibles ?
• Quels sont les types de données traitées ?
• Quelle est la ou les finalités du traitement ?
• Où sont hébergées les données et est-ce que des transferts à l’étranger sont réalisés ?
• Jusqu’à quand dois-je conserver ces données ?
• Quelles sont les mesures techniques et organisationnelles prises pour assurer la sécurité de ces données ?

Notre autorité mettra prochainement à disposition un modèle de data mapping qui pourra librement être repris par les autorités, que vous trouverez sur cette page.