Le DPD de Developing Inc. crée un référentiel où sont archivés les documents relatifs au traitement. Les documents sont stockés localement sur les serveurs de Developing Inc. L’architecture de stockage de Developing Inc. est redondante pour assurer la continuité de l’activité, et le contenu des serveurs est sauvegardé périodiquement.
Les développeurs identifient la documentation obligatoire suivante :
| Documentation : liste de contrôle | ||
| Politique de protection des données à caractère personnel | ✓ | S’applique |
| Avis de confidentialité | ✓ | S’applique |
| Politique de conservation des données | ✓ | S’applique |
| Calendrier de conservation des données | ✓ | S’applique |
| Registre des activités de traitement (le cas échéant) | ✓ | S’applique (voir ci-dessous) |
| Formulaire de consentement (le cas échéant) | ✓ | S’applique (consentement comme base juridique) |
| Accord de traitement des données avec les fournisseurs | ✗ | Ne s’applique pas (pas de fournisseurs ayant accès aux données personnelles) |
| Analyse de l’impact sur la protection des données | ✓ | S’applique (voir la section 4.2.5) |
| Clauses contractuelles pour le transfert des données personnelles (si applicable) | ✗ | Ne s’applique pas (pas de transfert) |
| Nomination d’un représentant de l’UE (le cas échéant) | ✗ | Ne s’applique pas (Developing Inc. est basé dans l’Union européenne) |
| Procédure de réponse et de notification en cas de violation des données | ✓ | S’applique |
| Registre des violations de données | ✗ | Ne s’applique pas (aucune violation n’a eu lieu) |
| Formulaire de notification de violation de données à l’autorité de contrôle | ✗ | Ne s’applique pas (aucune violation n’a eu lieu) |
| Formulaire de notification de la violation des données aux personnes concernées | ✗ | Ne s’applique pas (aucune violation n’a eu lieu) |
Dans le scénario, Design Inc. dispose d’un historique des activités de traitement. En effet, même s’il s’agit d’une petite organisation comptant moins de 250 employés, elle effectue régulièrement des traitements de données sur ses employés (par exemple, la gestion des salaires, l’organisation de retraites d’entreprise, etc.). Developing Inc. n’a pas produit de modèle propriétaire pour le registre des activités de traitement et a adopté celui fourni par l’autorité de contrôle française[1] .
- Le modèle peut être consulté à l’adresse suivante Commision Nationale Informatique & Libertés, ‘Record of Processing Activities’, August 2019, https://www.cnil.fr/en/record-processing-activities. ↑