Liste des documents requis par le RGPD
En principe, le respect du RGPD peut être un processus très complexe, en fonction des catégories de données traitées, des finalités du traitement, de la spécificité de l’activité, des exigences légales dans votre domaine d’activité, etc. Pour cette raison, la liste des procédures requises pour se conformer à toutes les exigences du RGPD peut être très différente d’une entreprise à l’autre. Cependant, dans la grande majorité des cas, les documents énumérés ci-dessous sont requis.
La documentation des activités de traitement est une nouvelle exigence légale en vertu du RGPD de l’ UE (règlement général sur la protection des données). La documentation de vos activités de traitement peut également favoriser une bonne gouvernance des données et vous aider à démontrer votre conformité avec d’autres aspects du RGPD.
Politique de protection des données personnelles (article 24)
Une politique de protection des données est une déclaration qui décrit comment votre organisation protège les données personnelles. Il explique les exigences du RGPD à vos employés et démontre l’engagement de votre organisation en matière de conformité.
Avis de confidentialité (articles 12, 13 et 14)
Un avis de confidentialité est une déclaration publique de la manière dont votre organisation applique (et respecte) les principes de traitement des données du RGPD. Élément essentiel de la conformité, il sert deux objectifs: promouvoir la transparence et donner aux individus un meilleur contrôle sur la façon dont leurs données sont utilisées.
Avis de confidentialité des employés (articles 12, 13 et 14)
En vertu du RGPD, vous devez être plus transparent et ouvert que jamais sur les données liées aux employés que vous traitez. C’est également un principe fondamental du RGPD pour les employeurs de traiter les données liées aux RH de manière équitable et transparente. Un avis de confidentialité des employés est une étape clé vers la conformité et explique à un individu comment un responsable du traitement (dans ce cas, votre organisation) traite les données personnelles d’un employé.
Politique de conservation des données (articles 5, 13, 17 et 30)
Une politique de conservation des données (ou conservation des enregistrements) décrit le protocole de votre organisation pour la conservation des informations. Il est important que votre organisation ne conserve les données que le temps nécessaire. En effet, conserver les données plus longtemps que nécessaire peut occuper un espace de stockage précieux et entraîner des coûts inutiles. Lors de la rédaction de votre politique de conservation des données, vous devez considérer deux facteurs clés:
1) Comment vous allez organiser les informations pour qu’elles soient accessibles ultérieurement; et
2) Comment vous disposerez des informations qui ne sont plus nécessaires.
Politique de conservation des données (article 30)
Une politique de conservation des données (ou conservation des enregistrements) est une stratégie qui définit la durée de conservation des éléments de données. Il fournit également des directives d’élimination sur la façon dont les éléments de données doivent être jetés.
Formulaire de consentement de la personne concernée (articles 6, 7 et 9)
Le consentement est une base légale pour le traitement des données personnelles, et le consentement explicite peut également légitimer l’utilisation de données de catégorie spéciale . Si votre organisation traite des données personnelles dans un but spécifique, vous devez obtenir l’autorisation des personnes concernées en question avec un formulaire de consentement. Le consentement au titre du RGPD est souvent mal compris et mal géré.
Accord de traitement des données des fournisseurs (articles 28, 32 et 82)
Si vous utilisez une autre organisation (c’est-à-dire un sous-processeur) pour vous aider dans le traitement de vos données personnelles, vous devez avoir un contrat écrit avec ce sous-processeur. C’est ce que l’on appelle un accord de traitement des données avec les fournisseurs.
Procédure de réponse et de notification en cas de violation de données (articles 4, 33 et 34)
Vous devez créer une procédure applicable en cas de violation de données personnelles en vertu de l’article 33 – «Notification d’une violation de données personnelles à l’autorité de contrôle» – et de l’article 34 du RGPD – «Communication d’une violation de données personnelles à la personne concernée “.
Registres des activités de traitement (article 30)
Registre de violation des données (article 33)
Vous devez conserver un enregistrement interne de toutes les violations de données personnelles dans un registre de violation de données. Le registre des violations de données doit contenir des détails sur les faits entourant la violation, les effets de la violation et toute mesure corrective prise.
Formulaire de notification de violation de données à l’autorité de contrôle (article 33)
Si vous avez rencontré une violation de données personnelles qui doit être signalée à la CNIL, vous devrez remplir le formulaire de notification de violation de données applicable.
Formulaire de notification de violation de données aux personnes concernées (article 34)
Vous devrez remplir un formulaire de notification de violation de données aux personnes concernées si vous avez subi une violation de données personnelles susceptible d’entraîner un «risque élevé pour les droits et libertés» d’un individu.
Description du poste de délégué à la protection des données (articles 37, 38 et 39)
Clauses contractuelles types pour le transfert de données personnelles aux responsables du traitement (article 46)
Ce document est obligatoire si vous transférez des données personnelles vers un responsable du traitement en dehors de l’Espace économique européen (EEE) et que vous vous basez sur des clauses types comme motifs légaux pour les transferts de données transfrontaliers.
Clauses contractuelles types pour le transfert de données personnelles aux sous-traitants (article 46)
Ce document est obligatoire si vous transférez des données personnelles vers un processeur situé en dehors de l’Espace économique européen (EEE) et que vous vous basez sur des clauses types comme motifs légitimes pour les transferts de données transfrontaliers.
