Préparer la documentation du traitement

Les responsables du traitement doivent toujours garder à l’esprit que le développement de solutions IdOimplique souvent l’utilisation de différents ensembles de données. La traçabilité du traitement, les informations sur l’éventuelle réutilisation des données et l’utilisation de données relatives à différents ensembles de données à différentes étapes ou aux mêmes étapes du cycle de vie doivent être assurées par les registres, puisque le responsable du traitement est responsable de la conformité à l’article 5 du RGPD et est en mesure de la démontrer (voir “Principe de responsabilité” dans la section “Principes” de la partie II des présentes lignes directrices). Quiconque traite des données à caractère personnel (y compris les responsables du traitement et les sous-traitants) doit documenter ses activités principalement à l’intention des autorités de contrôle qualifiées/pertinentes (voir la “Documentation du traitement” dans la section “Principaux outils et actions”, partie II des présentes lignes directrices), mais aussi, le cas échéant, des personnes concernées et des autres parties prenantes.

Cela doit se faire, entre autres, par le biais de registres des activités de traitement qui sont conservés de manière centralisée par l’organisation pour l’ensemble de ses activités de traitement, et par une documentation supplémentaire relative à une activité individuelle de traitement des données (voir la section “Documentation du traitement” dans les “Principaux outils et actions”, partie II des présentes lignes directrices).

Les premières étapes du développement du projet sont le moment idéal pour mettre en place une méthode systématique de collecte de la documentation nécessaire, puisque c’est à ce moment-là que l’organisation conçoit et planifie l’activité de traitement^[1] .

Liste de contrôle. Documentation

Contactez le bureau/personne qui tient les registres de traitement pour votre organisation.
- Si nécessaire, votre délégué à la protection des données peut vous aider à établir le contact.
Informez-les dès le début que vous avez l’intention de traiter des données à caractère personnel.
- Votre activité de transformation doit être inscrite dans les registres avant le début de la transformation.
Suivez leurs instructions concernant
- les informations que vous devez fournir pour les registres de traitement,
- le moment où vous devez envoyer des mises à jour de ces informations.

Documentation supplémentaire relative à une seule activité de traitement.

Les éléments suivants doivent être documentés :

Une évaluation de l’activité de traitement et si elle est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques.
Une analyse d’impact sur la protection des données lorsque l’évaluation ci-dessus donne un résultat positif.
La consultation éventuelle de l’autorité de contrôle compétente avant le traitement.
Les exigences et tests d’acceptation pour l’achat et/ou le développement du logiciel, du matériel et de l’infrastructure employés.
La mise en œuvre de mesures techniques et organisationnelles.
Les tests, évaluations et analyses régulières de l’efficacité des mesures techniques et organisationnelles.
Les exigences et tests d’acceptation pour la sélection des sous-traitants.
Les contrats stipulés avec les sous-traitants.
Les inspections et audits éventuels du sous-traitant.
La méthode de collecte du consentement.
Les démonstrations de l’expression individuelle du consentement.
Les informations fournies aux personnes concernées.
La mise en œuvre des droits des personnes concernées.
Le traitement effectif des droits des personnes concernées.
Les notifications éventuelles de violation à l’autorité de contrôle compétente.
La communication éventuelle des violations de données à la personne concernée.
Toute autre communication avec l’autorité de contrôle compétente.

L’article 25, paragraphe 1, du RGPD appelle cela “le moment de la détermination des moyens de traitement”. ↑