Concevoir votre politique de confidentialité
Home » IdO » Responsabilité et contrôle » Concevoir votre politique de confidentialité

La politique de confidentialité est le document public qui explique comment votre projet traite les données personnelles et comment il applique les principes de protection des données, conformément aux articles 12-14 du RGPD. Toutes les personnes concernées doivent avoir accès à cette politique de confidentialité. Elle doit être documentée.

Un modèle non officiel, mais recommandable, se trouve ici : https://gdpr.eu/wp-content/uploads/2019/01/Our-Company-Privacy-Policy.pdf.

Liste de contrôle. Politique de confidentialité

  • Contactez le bureau/personne qui tient les registres de traitement pour votre organisation.
    • Si nécessaire, votre délégué à la protection des données peut vous aider à établir le contact.
  • Informez-les dès le début que vous avez l’intention de traiter des données à caractère personnel.
    • Votre activité de transformation doit être inscrite dans les registres avant le début de la transformation.
  • Suivez leurs instructions concernant
    • les informations que vous devez fournir pour les registres de traitement,
    • le moment où vous devez envoyer des mises à jour de ces informations.

Documentation supplémentaire relative à une seule activité de traitement.

Les éléments suivants doivent être documentés :

  • Une évaluation afin de déterminer si l’activité de traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques.
  • Une analyse d’impact sur la protection des données lorsque l’évaluation ci-dessus donne un résultat positif.
  • La consultation éventuelle de l’autorité de contrôle compétente avant le traitement.
  • Les exigences et tests d’acceptation pour l’achat et/ou le développement du logiciel, du matériel et de l’infrastructure employés.
  • La mise en œuvre de mesures techniques et organisationnelles.
  • Les tests, évaluations et analyses régulières de l’efficacité des mesures techniques et organisationnelles.
  • Les exigences et tests d’acceptation pour la sélection des sous-traitants.
  • Les contrats stipulés avec les sous-traitants.
  • Les inspections et audits éventuels du sous-traitant.
  • Les méthodes de collecte du consentement.
  • Les démonstrations de l’expression individuelle du consentement.
  • Les informations fournies aux personnes concernées.
  • La mise en œuvre des droits des personnes concernées.
  • Le traitement effectif des droits des personnes concernées.
  • Les notifications éventuelles de violation à l’autorité de contrôle compétente.
  • La communication éventuelle des violations de données à la personne concernée.
  • Toute autre communication avec l’autorité de contrôle compétente.

 

Aller au contenu principal