RGPD : l’accountability, concrètement, c’est quoi ?

image_pdfimage_print

Le Village de la Justice consacre un article listant les documents devant composer le dossier de conformité  selon le principe d’accountability de l’article 5 du RGPD qui impose aux entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer à tout moment le respect des règles relatives à la protection des données.

Il s’agit pour le Data Privacy Officer (DPO) de pouvoir produire une documentation démontrant que l’organisme a bien adopté des mesures de sécurité et organisationnelles appropriées et respecte les grands principes de protection consacrés par le RGPD:

  • Licéité du traitement (intérêt légitime, obligation légale, contrat, etc.) ;
  • Loyauté et transparence (accès, rectification, suppression, portabilité, etc.) ;
  • Finalités et minimisation des données (données collectées adéquates, pertinentes et limitées aux finalités);
  • Durée de conservation strictement limitée aux finalités;
  • Intégrité et confidentialité (sécurité).

Concrètement, le DPO doit disposer de documents formalisant les mesures appropriées :

  • Code d’éthique sur les principes fondamentaux appliqués par l’organisme;
  • Documentation relative à la nomination du DPO et ses relais locaux;
  • Cartographie des traitements et schémas des flux de données;
  • Registre des traitements;
  • Fiches par traitement;
  • Procédure sur la gestion des demandes de droits d’accès (suppression, opposition, portabilité, etc.);
  • Politique de confidentialité interne (salariés) et externe (clients, fournisseurs, cookies);
  • Modalités de gestion des preuves des recueils de consentements (traçabilité)
  • Politique de Sécurité des Systèmes d’Informations (PSSI);
  • Procédure de conservation des données, archivage et suppression;
  • Procédure de gestion et de notification des violations de données (data breach);
  • Procédure relatives aux analyses d’impact;
  • Procédure d’anonymisation et de pseudonymisation des données;
  • Codes de conduite par métier sur les conditions de traitement des données personnelles (DSI, RH, Marketing, R&D);
  • Charte informatique;
  • Règlement intérieur;
  • Formation des salariés;
  • Certification ISO;
  • Politique d’éthique du choix des fournisseurs et sous-traitants;
  • Liste exhaustive des sous-traitants, localisation, périmètre d’activité et contrats (avenant RGPD);
  • Procédure sur le transfert des données personnelles hors UE;
  • Convention intragroupe (BCR);
  • Politique d’audit interne et des sous-traitants;
  • Déclarations de conformité CNIL, demandes d’autorisations, demandes d’avis.

Certains cabinets d’avocat et prestataires offrent des outils d’administration du dossier de conformité.

 

 

https://www.village-justice.com/articles/accountability-rgpd-liste-des-documents-contenus-dans-dossier-conformite,33433.html