Le processus de documentation de la conformité au RGPD

C'est un travail en cours. Toujours.

logo
PrivacyDocs
Mis à jour le 2 janvier 2025 · 10 minutes de lecture

Le processus de documentation et de maintien de la conformité au RGPD est une boucle continue de plusieurs activités :

Découverte Entretien Enregistrements Contrats Politiques Risques Violations Décisions Lacunes

Ceci est un bref aperçu des activités clés, et un spécialiste de la protection de la vie privée peut se retrouver à effectuer de nombreuses autres tâches liées à la vie privée et à la conformité qui ne sont pas mentionnées ici : demandes des personnes concernées, évaluations d'impact sur la protection des données, évaluations des intérêts légitimes, évaluations d'impact sur les transferts, examens internes de nouveaux systèmes et processus manuels, formation et conseils internes, et bien d'autres. Mais examinons les bases.

Découverte

Cela commence par la découverte. Vous devez soupçonner que certains traitements sont effectués par votre entreprise. Cela peut être facile dans une petite entreprise et très difficile dans une grande entreprise distribuée. En tant que spécialiste de la confidentialité, généralement externe à la plupart des responsables de processus, vous devez soupçonner que quelqu'un pourrait être responsable d'une activité de traitement au sein de l'entreprise, trouver ce responsable et organiser un appel.

Vous pouvez soupçonner certaines activités en cours (ventes, marketing, ressources humaines, paie), mais vous pouvez également découvrir de nombreuses activités spécifiques ou internes. Très souvent, vous découvrirez une carte des activités et des flux de données qui n'existaient pas auparavant.

Le département informatique est souvent au courant de la majorité des processus automatiques, même s'il ne les possède pas ou ne les exploite pas. Les processus manuels peuvent être plus difficiles à découvrir, il est donc nécessaire d'être proactif lors de l'entretien pour finalement apprendre ce que chacun fait.

Entretien

En général, la documentation de conformité au RGPD est basée sur des entretiens : vous interrogez les responsables de processus (ou toute personne compétente) sur les détails de chaque processus spécifique et notez les réponses. On s'attend (et c'est généralement accepté) à ce que les systèmes informatiques fassent ce que leurs propriétaires croient qu'ils font et que les collègues humains fassent ce qu'ils sont censés faire. Vous devez prendre des mesures si vous soupçonnez que cette hypothèse n'est plus valide. Par exemple, si des personnes racontent des histoires incohérentes sur certains processus, ou si vous pouvez observer le processus vous-même.

Une interview est généralement consacrée à une seule activité de traitement (ou à quelques activités étroitement liées). Souvent, vous aurez deux collègues différents : quelqu'un qui est responsable de l'activité et quelqu'un d'autre qui la connaît dans les moindres détails. Vous voudrez peut-être enregistrer leurs noms dans les champs 'Personne responsable' et 'Personne de contact' des registres des activités de traitement dans PrivacyDocs.

Les responsables de processus ne sont souvent pas en mesure de vous donner l'image dont vous avez besoin. Par exemple, un système informatique peut servir de nombreux processus différents, et les personnes impliquées dans les processus peuvent ne pas être conscientes des détails sur la manière dont les données sont intégrées dans le système, des mesures de sécurité applicables, de la conservation, des informations fournies aux personnes concernées, etc. Il est également courant que le département juridique maintienne tous les contrats, et que les personnes responsables d'un processus au sein d'une entreprise n'en aient pas de copie.

Registre des activités de traitement

Support PrivacyDocs

Les registres des activités de traitement en tant que responsable sont ouverts par défaut. Vous pouvez revenir en arrière en appuyant sur le bouton 'Traitement du responsable' dans le coin supérieur gauche de l'écran :

Records of processing activities as a controller

L'objectif des entretiens est de remplir les registres des activités de traitement et de noter les nouvelles activités découvertes lors des entretiens.

Une heure n'est souvent pas suffisante pour l'entretien initial, et des suivis peuvent être nécessaires. Les revues (annuelles) sont généralement beaucoup plus courtes, se transformant finalement en échanges d'e-mails rapides : 'Quelque chose a-t-il changé ?'

Partager l'écran de PrivacyDocs avec l'enregistrement en question avec vos collègues lors d'un entretien les aide à mieux le comprendre et à s'impliquer. Vous pouvez partager l'état final de l'enregistrement après l'entretien avec les parties prenantes pour confirmer et éviter les malentendus.

Support PrivacyDocs

Partagez l'état actuel du dossier en l'envoyant par e-mail (bouton 'Équipe') : Team button . Vous pouvez également inviter vos collègues à consulter l'enregistrement directement sur PrivacyDocs (bouton 'Paramètres client') : Client settings

Contrats

Établir la base légale pour chaque activité est une tâche distincte car elle n'est souvent pas facilement disponible lors des entretiens. Les situations suivantes se produisent souvent :

  • Traitement basé sur un contrat, tel qu'un contrat de travail ou un contrat de vente. En tant que professionnel de la confidentialité, vous devez trouver le contrat tel qu'il est signé par les personnes concernées (individus), rassembler toutes les variétés de contrats et les évaluer pour vérifier que ce qui est convenu correspond à ce qui est documenté dans votre documentation de conformité. Ces contrats peuvent être gérés par d'autres départements, exister uniquement sous forme électronique ou être composés de divers documents juridiques. Les références aux contrats et à leurs textes sont ensuite saisies dans PrivacyDocs dans les champs correspondants.
  • Traitement basé sur un intérêt légitime. Selon le RGPD, vous devez 'établir' un intérêt légitime en complétant une Évaluation de l'Intérêt Légitime. Une simple croyance que l'entreprise a le droit de mener une certaine activité de traitement n'est pas suffisante pour être conforme. PrivacyDocs propose un formulaire spécialisé que vous pouvez remplir. Ce faisant, vous pourriez découvrir que l'entreprise n'a pas réellement un 'intérêt' légitime à mener le traitement, ou que le traitement doit être mis à jour, ou que les risques associés doivent être évalués et gérés.
  • Le traitement basé sur le consentement nécessite généralement de trouver les textes exacts sur lesquels les individus s'accordent. Ces textes sont souvent fournis par les systèmes de vente ou de marketing, ne sont pas unifiés et ne sont pas vraiment gérés comme des accords contractuels. Ils doivent être saisis dans les champs appropriés de PrivacyDocs.

Mettre à jour les politiques

Support PrivacyDocs

Générez des documents de politique en utilisant le bouton 'Politiques' :

Policy generation

Lorsqu'un enregistrement de traitement est mis à jour, vous voudrez peut-être examiner les politiques, les avis et les contrats dans lesquels les personnes concernées sont informées ou acceptent le traitement. Une politique ou un avis bien défini serait suffisamment complet pour ne pas nécessiter de mises à jour régulières. Il est néanmoins judicieux de les examiner pour rester en phase avec le reste de la documentation sur la protection des données.

PrivacyDocs prend en charge la génération de ces documents avec les boutons 'Politique' dans la barre d'outils. Après avoir terminé votre cycle de révision annuel, vous pouvez régénérer les politiques et les comparer avec les versions de l'année précédente à l'aide des fonctions de comparaison dans Microsoft Word ou d'autres outils. De cette manière, vous vous assurerez que vos documents de politique sont à jour.

Enquêter sur les violations

Vous pouvez enregistrer et enquêter sur les violations de données personnelles au fur et à mesure qu'elles se produisent. Normalement, de petites violations à faible risque devraient se produire régulièrement, et un registre bien rempli de ces violations est le meilleur signe de votre conformité aux exigences d'enregistrement des violations du RGPD.

Une violation mettrait généralement en évidence un risque qui doit être atténué ou accepté.

Identifier et gérer les risques

Les risques peuvent être identifiés à trois endroits :

  • Identification préliminaire des risques dans le cadre d'un registre des activités de traitement (champ 'Risques')
  • Évaluation d'impact sur la protection des données (tableau 'AIPD - Évaluations d'impact sur la protection des données')
  • Évaluation des violations lors de l'enregistrement des violations

La plupart des risques conduisent à une décision commerciale, allant de l'acceptation des risques tels quels à la modification des activités de traitement à l'origine du risque. Vous devez documenter ces étapes car elles font partie de la documentation de conformité. Le processus de réponse à un risque peut prendre du temps, surtout si une réponse appropriée nécessite un changement matériel dans le traitement.

Documenter les décisions

La documentation sur la prise de décision fait partie de la documentation de conformité. Les e-mails, messages de chat et résumés de conversations correspondants doivent être collectés et joints à chaque risque. Ils sont mieux stockés dans un dossier séparé lié à PrivacyDocs.

Travailler sur les lacunes de conformité

La conformité au RGPD est toujours un travail en cours. Il y a toujours quelque chose qui n'est pas terminé : des éléments de documentation manquants, des risques nécessitant une atténuation, etc. Ces lacunes et les progrès continus de l'entreprise pour les couvrir devraient être reflétés dans la documentation sur la protection des données.

Nous pouvons vous aider

Nous pouvons vous aider à mener les entretiens et à découvrir votre carte des activités de traitement dans le cadre des services de conseil GDPR de PrivacyDocs.