Des documents pour maîtriser la RGPD et prouver que vous avez fait ce qu’il fallait
La RGPD introduit le principe d’accountability. Ceci implique que pour prouver que vous avez fait ce qui était nécessaire pour protéger les données personnelles que vous détenez, vous devez documenter les choses.
Certains éléments sont incontournables :
- registre des traitements,
- le document type de vos mentions d’information ainsi que du recueil de consentement
En plus de cela, suivant les cas vous pouvez être amené à produire d’autres éléments :
- des analyses de risques et d’impacts sur la protection des données (PIA : privacy impact assessment). Cette analyse est du ressort du DPD. Elle est formalisée : Contexte, Principes Fondamentaux, Risques, Validation. Un outil logiciel est conseillé pour gérer les différentes analyses.
- la référence des contrats avec vos sous-traitants gérant des données personnelles issues de votre système d’information (avec si possible l’avis de respect de la RGPD)
- le détail des procédures de conformité RGPD
- le détail des procédures d’alerte en cas de fuite de données
- les preuves de consentement explicite et éclairé des personnes
- les éléments encadrant les transferts de données en dehors de l’Union Européenne
Enfin, n’oubliez pas qu’une charte informatique à jour et des sensibilisations régulières à la cybersécurité font partie de la bonne hygiène de sécurité de votre système d’information.