RGPD : l'accountability, concrètement, c'est quoi ?
Le Village de la Justice consacre un article listant les documents devant composer le dossier de conformité selon le principe d'accountability de l’article 5 du RGPD qui impose aux entreprises de mettre en œuvre des mécanismes et des…
Le Village de la Justice consacre un article listant les documents devant composer le dossier de conformité selon le principe d’accountability de l’article 5 du RGPD qui impose aux entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer à tout moment le respect des règles relatives à la protection des données. Il s’agit pour le Data Privacy Officer (DPO) de pouvoir produire une documentation démontrant que l’organisme a bien adopté des mesures de sécurité et organisationnelles appropriées et respecte les grands principes de protection consacrés par le RGPD:
- Licéité du traitement (intérêt légitime, obligation légale, contrat, etc.) ;
- Loyauté et transparence (accès, rectification, suppression, portabilité, etc.) ;
- Finalités et minimisation des données (données collectées adéquates, pertinentes et limitées aux finalités);
- Durée de conservation strictement limitée aux finalités;
- Intégrité et confidentialité (sécurité).
Concrètement, le DPO doit disposer de documents formalisant les mesures appropriées :
- Code d’éthique sur les principes fondamentaux appliqués par l’organisme;
- Documentation relative à la nomination du DPO et ses relais locaux;
- Cartographie des traitements et schémas des flux de données;
- Registre des traitements;
- Fiches par traitement;
- Procédure sur la gestion des demandes de droits d’accès (suppression, opposition, portabilité, etc.);
- Politique de confidentialité interne (salariés) et externe (clients, fournisseurs, cookies);
- Modalités de gestion des preuves des recueils de consentements (traçabilité)
- Politique de Sécurité des Systèmes d’Informations (PSSI);
- Procédure de conservation des données, archivage et suppression;
- Procédure de gestion et de notification des violations de données (data breach);
- Procédure relatives aux analyses d’impact;
- Procédure d’anonymisation et de pseudonymisation des données;
- Codes de conduite par métier sur les conditions de traitement des données personnelles (DSI, RH, Marketing, R&D);
- Charte informatique;
- Règlement intérieur;
- Formation des salariés;
- Certification ISO;
- Politique d’éthique du choix des fournisseurs et sous-traitants;
- Liste exhaustive des sous-traitants, localisation, périmètre d’activité et contrats (avenant RGPD);
- Procédure sur le transfert des données personnelles hors UE;
- Convention intragroupe (BCR);
- Politique d’audit interne et des sous-traitants;
- Déclarations de conformité CNIL, demandes d’autorisations, demandes d’avis.
Certains cabinets d’avocat et prestataires offrent des outils d’administration du dossier de conformité. https://youtu.be/KTXH6vDA7-o https://www.village-justice.com/articles/accountability-rgpd-liste-des-documents-contenus-dans-dossier-conformite,33433.html
À lire également
Internet Réseaux et mouvements masculinistes
Commerce électronique Conditions de travail des livreurs des plateformes numériques
Cybersécurité