Antisèche RGPD 17 : La preuve incombe à celui qui se met en conformité !

Partager : 
en conformité

L’enjeu

Dès lors qu’un contrôle est effectué dans une organisation, c’est à celle-ci de prouver qu’elle est bien en conformité avec les différentes réglementations en vigueur. Il lui faut donc constituer et regrouper les documents nécessaires à cette tâche. Dans le cas du RGPD, le responsable des traitements doit donc réexaminer et actualiser les actions et documents réalisés à chaque étape d’un traitement, notamment pour s’assurer de la protection des données en continu.

Afin de prouver facilement la conformité avec le RGPD, il est donc recommandé de constituer un dossier documentaire, regroupant les mesures organisationnelles et techniques mises en place, pour pouvoir les réexaminer et les actualiser si nécessaire.

En pratique

Afin de répondre à une demande de contrôle, de la part de la CNIL par exemple, l’organisation doit donc prouver sa conformité. Le dossier devra notamment comporter les éléments qui suivent :

Une documentation des traitements de données personnelles

  • Tenir un registre des traitements (pour les responsables de traitements)
  • Mener des analyses d’impact sur la protection des données (DPIA)

L’information des personnes

  • Stocker les mentions d’information
  • Mettre en place des modèles de recueil du consentement des personnes
  • Les procédures utilisées pour permettre l’exercice des droits des personnes

Les contrats qui définissent les rôles et les responsabilités des acteurs

  • Les contrats signés avec les sous-traitants
  • Quelles procédures mises en place en cas de violations de données
  • Répertorier les preuves de consentement des personnes

Apporter la preuve de sa mise en conformité avec le RGPD est obligatoire, surtout lors d’un contrôle de la CNIL. Ne pas pouvoir prouver que l’organisation respecte les obligations prévues par le règlement européen peut l’exposer à de fortes amendes.

Questions à se poser

Mon organisation possède-t-elle un registre des traitements ?
Le responsable des traitements peut-il prouver la conformité de son organisation ?
Documenter la conformité antisèche RGPD 17 DataGalaxy RGPD - GDPR

Source utile

Documenter la conformité

Partager :