Le Règlement Général sur la Protection des Données concerne toutes les entreprises qui collectent, stockent et/ou traitent des données personnelles.
Documenter sa conformité
Fiche pratique
INFOREG
Lors d’un contrôle de la CNIL il est indispensable pour l’entreprise d’être en capacité de prouver et démontrer le respect de la réglementation en matière de données personnelles.
Pourquoi documenter sa conformité ?
Avoir une documentation complète et à jour de sa conformité au règlement général sur la protection des données (RGPD) est indispensable et primordiale pour le responsable de traitement en cas de contrôle de la CNIL.
La CNIL effectue des contrôles auprès de toute entreprise traitant des données à caractère personnel disposant d’un établissement en France, ou concernant des personnes résidant en France.
Quels documents l’entreprise doit-elle conserver afin de prouver sa conformité ?
L’entreprise doit constituer et regrouper la documentation nécessaire permettant de démontrer que le traitement de données personnelles est conforme au RGPD :
- La documentation relative aux traitements de données personnelles, telle que :
- Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants),
- Les analyses d’impact relatives à la protection des données pour les traitements, susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes,
- L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)
- La documentation relative à l’information des personnes, telle que :
- Les mentions d’information,
- Les modèles de recueil du consentement des personnes concernées,
- Les procédures mises en place pour l'exercice des droits des personnes,
- La documentation relative aux contrats définissant les rôles et responsabilités des acteurs, telle que les contrats avec les sous-traitants ;
- Les procédures internes en cas de violations de données et éventuellement un registre des violations ;
- Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base ;
- Description des mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque.
Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)
Mis à jour le 07/12/2021