La Loi
L’article 24 du règlement européen précise que compte tenu de la nature, de la porté, du contexte, des finalités du traitement et des risques, du degré de probabilité et de gravite pour les personnes physiques, le responsable de traitement doit mettre en œuvre des mesures techniques ou organisationnelles pour s’assurer d’être en mesure de démontrer que le traitement est effectue conformément au RGPD.
L’obligation de documenter
Pour simplifier l’obligation de documenter est l’obligation de se constituer un gros classeur dans lequel vous indiquez toutes les diligences que vous avez accomplies et ou vous mettez par écrit toutes les procédures, les manuels d’utilisations des outils informatiques utilisés et votre registre des traitements.
Pour pouvoir atteindre cet objectif il faut appliquer la check-list ci-dessous comprenant les points les plus importants de la réglementation que vous allez devoir respecter sur tout projet et que vous allez devoir reprendre dans votre documentation de conformité.
1 – LE RGPD est-il applicable au traitement?
- Le traitement des données est-il à caractère personnel?
- suis-je responsable du traitement?
- Le droit Français et Européen s’applique-t’il au traitement?
2 – Ma conformité est-elle documentée?
- dans quel conditions?
- registre
- Procédures
- Clausiers
- Etude d’impact
- audit
- formation
3 – Suis-je certain de respecter le principe de collecte loyale et proportionnée?
- collecte licite et loyale?
- proportionnalité respectée?
4 – Droit a l’oubli ?
- durée de conservation?
- modalité d’archivage?
5 – Sécurisation des données?
- Y a-t’il une politique de sécurité et de confidentialité
6 – Y a-t’il collecte de données particulièrement sensibles?
- Données sensible, Infraction, NIR
- Règles spécifiques applicables respectées?
7 – Transfert hors UE?
- Y a-t’il transferts des données hors UE?
- Encadrement juridique en place?
8 – Mise en œuvre des procédures pour vous assurer des droit des personnes fichées ?
- Information préalable, accès, portabilités, rectification, opposition, limitation, consentement dans certain cas?
- suis je organise pour bien connaitre ces droits et être en capacité de répondre aux demandes
9 – Y a-t’il des formalités a réaliser auprès de la CNIL?
- Etude d’impact pour certain traitements?
- Rédaction d’un document d’analyse des risques?
10 – Dois je designer un délégué a la protection des données (DPD/DPO)
Cette check-list facilitera la mise en œuvre de tout projet ayant trait au règlement général de la protection des données