Le Village de la Justice consacre un article listant les documents devant composer le dossier de conformité selon le principe d’accountability de l’article 5 du RGPD qui impose aux entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer à tout moment le respect des règles relatives à la protection des données.
Il s’agit pour le Data Privacy Officer (DPO) de pouvoir produire une documentation démontrant que l’organisme a bien adopté des mesures de sécurité et organisationnelles appropriées et respecte les grands principes de protection consacrés par le RGPD:
- Licéité du traitement (intérêt légitime, obligation légale, contrat, etc.) ;
- Loyauté et transparence (accès, rectification, suppression, portabilité, etc.) ;
- Finalités et minimisation des données (données collectées adéquates, pertinentes et limitées aux finalités);
- Durée de conservation strictement limitée aux finalités;
- Intégrité et confidentialité (sécurité).
Concrètement, le DPO doit disposer de documents formalisant les mesures appropriées :
- Code d’éthique sur les principes fondamentaux appliqués par l’organisme;
- Documentation relative à la nomination du DPO et ses relais locaux;
- Cartographie des traitements et schémas des flux de données;
- Registre des traitements;
- Fiches par traitement;
- Procédure sur la gestion des demandes de droits d’accès (suppression, opposition, portabilité, etc.);
- Politique de confidentialité interne (salariés) et externe (clients, fournisseurs, cookies);
- Modalités de gestion des preuves des recueils de consentements (traçabilité)
- Politique de Sécurité des Systèmes d’Informations (PSSI);
- Procédure de conservation des données, archivage et suppression;
- Procédure de gestion et de notification des violations de données (data breach);
- Procédure relatives aux analyses d’impact;
- Procédure d’anonymisation et de pseudonymisation des données;
- Codes de conduite par métier sur les conditions de traitement des données personnelles (DSI, RH, Marketing, R&D);
- Charte informatique;
- Règlement intérieur;
- Formation des salariés;
- Certification ISO;
- Politique d’éthique du choix des fournisseurs et sous-traitants;
- Liste exhaustive des sous-traitants, localisation, périmètre d’activité et contrats (avenant RGPD);
- Procédure sur le transfert des données personnelles hors UE;
- Convention intragroupe (BCR);
- Politique d’audit interne et des sous-traitants;
- Déclarations de conformité CNIL, demandes d’autorisations, demandes d’avis.
Certains cabinets d’avocat et prestataires offrent des outils d’administration du dossier de conformité.