Le RGPD exige des responsables du traitement des données non seulement qu’ils se conforment aux obligations en matière de protection des données, mais aussi qu’ils soient en mesure de démontrer leur conformité à ces obligations et aux principes consacrés par la norme. Cela signifie que le responsable du traitement des données doit conserver des registres et des documents appropriés relatifs au traitement des données et à la gouvernance de ce traitement.
En dehors d’un ensemble limité de documents qui sont clairement obligatoires (tels que le registre des activités de traitement requis par l’article 30 du RGPD), il incombe au responsable du traitement des données d’identifier les documents nécessaires pour démontrer la conformité. Les tableaux suivants présentent la liste des documents exigés par le RGPD avec l’emplacement correspondant dans le texte. Elle doit être considérée comme une base de référence minimale plutôt que comme une liste de contrôle exhaustive. En effet, bien qu’ils ne soient pas obligatoires, des documents supplémentaires peuvent être nécessaires pour démontrer la conformité (par exemple, des rapports de consultations préalables avec les autorités de contrôle, la description des mesures techniques et organisationnelles mises en œuvre, etc.)
| Documentation : liste de contrôle | ||
| 1 | Politique de protection des données personnelles | Article 24.2 |
| 2 | Avis de confidentialité | Articles 12, 13, 14 |
| 3 | Politique de conservation des données | Articles 5, 13, 17 et 30 |
| 4 | Calendrier de conservation des données | Article 30 |
| 5 | Registre des activités de traitement (le cas échéant) | Article 30 |
| 6 | Formulaire de consentement (le cas échéant) | Articles 6, 7, 9 |
| 7 | Accord de traitement des données avec les fournisseurs | Articles 28, 32, 82 |
| 8 | Analyse de l’impact sur la protection des données | Article 35 |
| 9 | Nomination d’un représentant de l’UE (le cas échéant) | Article 27 |
| 10 | Procédure de réponse et de notification en cas de violation des données | Articles 4, 33, 34 |
| 11 | Notification de la violation des données à l’autorité de contrôle (le cas échéant) | Article 33 |
| 12 | Notification de la violation des données aux personnes concernées (le cas échéant) | Article 34 |
Certains documents ne sont nécessaires que lorsque des critères spécifiques s’appliquent.
| Documentation obligatoire sous conditions | |
| Registre des activités de traitement | Si 250 employés ou plus, à moins que le traitement ne soit susceptible d’entraîner un risque pour les droits et libertés des personnes concernées, qu’il ne soit pas occasionnel ou qu’il comprenne des catégories spéciales de données ou des données à caractère personnel relatives aux condamnations pénales et aux infractions. |
| Formulaire de consentement | Si le traitement repose sur le consentement comme base juridique, et si le traitement a été recueilli sous forme écrite[1] . |
| Nomination d’un représentant de l’UE | Si le traitement concerne des sujets dans l’UE et est effectué par un responsable du traitement ou un sous-traitant non établi dans l’UE, à moins qu’il ne soit occasionnel, qu’il n’implique pas un traitement à grande échelle, ou des catégories spéciales de données, ou des données à caractère personnel relatives à des condamnations pénales et à des infractions, et qu’il ne soit pas susceptible d’entraîner un risque pour les droits et libertés des personnes physiques. |
| Notification de la violation des données à l’autorité de contrôle | Uniquement en cas de violation de données susceptible d’entraîner un risque pour les droits et libertés des personnes physiques. |
| Notification des violations de données aux personnes concernées | Lorsqu’une violation de données susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques se produit ou, lorsqu’il est peu probable qu’elle entraîne un risque élevé, si l’autorité de contrôle l’exige. |
Pour faciliter la tenue des registres et en assurer la cohérence, le chercheur doit préparer des modèles appropriés pour les étapes à documenter ou consulter le DPD ou son service juridique en lieu et place du DPD, pour vérifier si des modèles existent au sein de l’organisation.
Avant de commencer la collecte et le traitement des données personnelles, les chercheurs doivent rassembler la documentation sur la protection des données déjà disponible dans leur organisation et créer un dossier spécifique contenant toute la documentation pertinente. Les nouveaux documents doivent être ajoutés au dossier dès qu’ils sont créés. L’objectif du dossier est d’enregistrer les étapes et les décisions prises par les chercheurs et les autres acteurs de la protection des données impliqués dans l’activité de recherche et de présenter suffisamment d’informations pour démontrer que la conformité a été maintenue tout au long du processus.
L’équipe de recherche ne doit pas considérer le dossier comme une simple obligation d’enregistrement. Le dossier doit servir à formaliserles mesures pratiques prises par l’équipe de recherche pour garantir la protection des données personnelles. Par exemple, il ne suffit pas d’avoir une procédure de réponse et de notification en cas de violation des données. Les chercheurs doivent être en mesure de démontrer que cette procédure peut être mise en œuvre rapidement et efficacement en cas de besoin.
- En effet, le RGPD n’impose pas que le consentement soit recueilli sous forme écrite. Pour plus d’informations, voir European Data Protection Board, ‘Guidelines 05/2020 on Consent’, 16. ↑