Quelle documentation réunir pour prouver votre conformité au RGPD ?
Assurer sa conformité au Règlement général sur la protection des données personnelles implique de constituer une documentation solide pour démontrer que votre organisation respecte les exigences légales. Cette documentation sert de preuve en cas de contrôle par la CNIL, l'autorité de contrôle. Voici les principaux éléments à rassembler.
La liste des "Documents RGPD"
1. La documentation sur vos traitements de données personnelles
✅ Le registre des traitements : ce document recense tous les traitements de données personnelles effectués (fichiers clients, employés, vidéosurveillance, géolocalisation, etc.).
✅ Les analyses d'impact sur la protection des données (DPIA) : ces études sont requises pour les traitements présentant un risque élevé pour les droits des personnes concernées.
✅ L'encadrement des transferts de données hors de l'Union européenne : en cas de transfert de données collectées et transmises en dehors de l'UE, il est nécessaire de justifier l'utilisation de clauses contractuelles types (CCT), de règles d'entreprise contraignantes (BCR) ou d'autres mécanismes de data protection reconnus.
2. Les documents relatifs à l'information des personnes concernées par vos fichiers.
L’information et les droits des personnes sont au cœur du règlement européen. Vous devez donc réunir :
✅ Les mentions d’information : elles doivent figurer dans les formulaires de collecte et les communications pour informer les personnes sur l’utilisation de leurs données.
✅ Les modèles de recueil du consentement : si le traitement repose sur le consentement, il est nécessaire d’archiver les preuves de ce consentement.
✅ Les procédures d’exercice des droits : votre organisation doit pouvoir prouver qu’elle permet aux individus d’exercer leurs droits (accès, rectification, opposition, portabilité).
3. Les contrats qui définissent les rôles et les responsabilités de chacun.
Pour garantir la conformité, il est important de formaliser les rôles et responsabilités des différents acteurs impliqués dans le traitement des données :
✅ Les contrats avec les sous-traitants : ces contrats doivent préciser les obligations en matière de protection des données à caractère et s’assurer du respect des engagements.
✅ Les procédures internes en cas de violation de données : un plan d’action doit être établi pour gérer les incidents et notifier la CNIL en cas de violation affectant les droits des personnes.
✅ Les preuves du consentement : si une activité repose sur le consentement, la documentation doit inclure les modalités de collecte et de conservation des preuves.
Un point essentiel : la transmission à la CNIL
Toute cette documentation doit être conservée en interne. Cependant, certains documents peuvent être demandés par la CNIL dans des cas spécifiques :
Lorsque le risque résiduel d’un traitement reste élevé malgré les mesures prises (nécessitant alors une consultation de la CNIL).
Si une législation nationale impose la transmission d’une analyse d’impact.
Lors d’un contrôle par la CNIL, qui peut exiger l’accès à certaines preuves de conformité.
En rassemblant ces documents, votre organisation renforce sa conformité au RGPD et démontre son engagement en matière de sécurité des données.
Source : www.cnil.fr
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
