Le dirigeant de l’entreprise est responsable de la mise en conformité au RGPD et doit tenir à jour une documentation qui couvre les trois aspects suivants :
- LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNES PERSONNELLES : elle comprend le registre des traitements, qui décrit les finalités, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité de chaque traitement, ainsi que les analyses d’impact sur la protection des données (PIA), qui évaluent les risques et les mesures à prendre pour les réduire, lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Elle comprend également l’encadrement des transferts de données hors de l’Union Européenne, qui doit garantir un niveau de protection adéquat aux données transférées, par exemple par des clauses contractuelles types ou des règles d’entreprise contraignantes.
- L’INFORMATION DES PERSONNES : elle consiste à informer les personnes concernées par le traitement de leurs données des modalités et des finalités du traitement, ainsi que de leurs droits et des moyens de les exercer. Elle se fait par des mentions d’information, qui doivent être claires, complètes et accessibles, et par des modèles de recueil du consentement des personnes concernées, lorsque le traitement repose sur cette base légale. Elle implique également de mettre en place des procédures pour répondre aux demandes d’exercice des droits des personnes, tels que le droit d’accès, de rectification, d’effacement, de limitation, d’opposition ou de portabilité des données.
- LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS : ils concernent les relations entre le responsable du traitement et les sous-traitants, qui doivent respecter les obligations du RGPD et assurer la sécurité et la confidentialité des données qu’ils traitent pour le compte du responsable. Ils doivent être formalisés par des contrats écrits qui précisent les conditions et les modalités du traitement, ainsi que les droits et les obligations de chaque partie. Ils concernent également les procédures internes en cas de violation des données, qui doivent permettre de détecter, de signaler et de gérer efficacement les incidents affectant la sécurité ou l’intégrité des données personnelles.