Ces listes de contrôle n’ont pas été révisées et validées en externe. Néanmoins, PANELFIT les considère comme adéquates pour l’objectif visé par ces lignes directrices.
Liste de contrôle de la phase de conception
| Étape |
| ☐ Identifier le(s) objectif(s) de l’activité |
| ☐ Évaluer si l’activité constitue une “recherche” |
| ☐ Identifier les rôles de l’équipe de recherche et des autres parties prenantes |
| ☐ Confirmer que le traitement des données biométriques est nécessaire pour atteindre le(s) but(s) de l’activité |
Liste de contrôle de la phase de préparation
| Étape |
| ☐ Évaluer si l’une des cinq conditions requises pour un DPD s’applique |
| ☐ S’il s’agit d’une autorité publique, vérifiez si le DPD peut être nommé d’une autre autorité publique |
| ☐ Publier le contact du DPD |
| ☐ Déterminer si la collecte des données se fera directement auprès des personnes concernées ou indirectement |
| ☐ Évaluer si vous pouvez bénéficier d’une exemption de l’obligation d’informer la personne concernée |
| ☐ Enregistrer l’évaluation de l’éligibilité à une exemption de l’obligation d’informer |
| ☐ Définir un processus interne pour garantir la précision des données traitées |
| ☐ Identifier si des exemptions au traitement de catégories spéciales de données personnelles s’appliquent |
| ☐ Si une loi supplémentaire est requise, vérifier son existence. S’il n’y en a pas, identifier une autre exemption |
| ☐ Si des exemptions s’appliquent, identifier la base juridique du traitement des données conformément à l’article 6 du RGPD |
| ☐ Si vous vous appuyez sur le consentement, assurez-vous qu’il est explicite |
| ☐ Tenir un registre des formulaires de consentement |
| ☐ Créer un référentiel de documents, qui contient au moins les documents exigés par le RGPD |
| ☐ Évaluer si le traitement présente un risque élevé pour les droits et libertés des personnes physiques |
| ☐ Enregistrer les résultats de l’évaluation préliminaire |
| ☐ Si le traitement présente des risques élevés, effectuez uneAIPD |
| ☐ Si les risques ne sont pas atténués par les mesures envisagées, mettre en œuvre des mesures supplémentaires adéquates |
| ☐ Si les risques ne sont pas atténués et qu’il n’est pas possible de mettre en œuvre des mesures supplémentaires, consulter l’autorité de contrôle |
| ☐ Enregistrer les résultats de l’AIPD |
Liste de contrôle de la phase d’exécution
| Étape |
| ☐ Traiter les données en appliquant les garanties et les précautions définies pendant la phase de préparation |
| ☐ En cas de développement d’un système TIC, veiller à ce que la personne concernée puisse accéder aux informations nécessaires via une interface utilisateur appropriée |
| ☐ En cas de développement d’un système TIC, évaluer les risques pour les personnes concernées liés à chaque fonction du système |
| ☐ Enregistrer le résultat de l’évaluation des risques liés aux fonctions du système |
| ☐ Si les risques ne peuvent être atténués, consulter l’autorité de contrôle ou ne pas mettre en œuvre le programme |
| ☐ Garder à l’esprit les cas d’utilisation impliquant des sujets vulnérables |
| ☐ Dans le cas du test d’un système TIC, évaluer si le test du système configure un traitement différent de celui du développement du système |
| ☐ Enregistrer le résultat de l’évaluation du test comme un traitement différent |
| ☐ Si le test du système configure un traitement différent, évaluer si l’objectif est compatible |
| ☐ Enregistrer le résultat du test de compatibilité |
| ☐ Évaluer si la diffusion du résultat implique la diffusion de données personnelles et de catégories spéciales de données personnelles également |
| ☐ Identifier les exemptions au traitement des catégories spéciales de données personnelles avant la diffusion |
| ☐ Identifier la base juridique la plus appropriée pour traiter les données personnelles avant la diffusion |
| ☐ Désigner les destinataires comme responsables du traitement des données |
| ☐ Informer les personnes concernées du transfert de données |
| ☐ Vérifier si le transfert de données est international |
| ☐ Si le transfert est international et qu’aucune dérogation ne s’applique, identifier un instrument de transfert |
| ☐ Évaluer si la conservation des données personnelles est légale |
| ☐ Enregistrer le résultat de l’évaluation de la légalitéde la conservation des données |
| ☐ S’il est illégal de conserver des données à caractère personnel, les supprimer ou les rendre anonymes |