Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Votre dossier devra notamment comporter les éléments suivants :
LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES
- Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants) (Article 30)
- Les analyses d’impact relatives à la protection des données pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes (Articles 35+36)
- L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications) (Articles 44-50)
- Le registre qui documente toutes les violations de données. Celui-ci renseigne les effets de la violation de données et les mesures prises pour y remédier. (Articles 33+34)
L'INFORMATION DES PERSONNES (Articles 13+14)
- Les mentions d’information
- Les modèles de recueil du consentement des personnes concernées
- Les procédures mises en place pour l'exercice des droits
LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS
- Les contrats avec les sous-traitants (Article 28)
- Les procédures internes en cas de violations de données
- Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base juridique.
Attention : cette liste n’est pas exhaustive et les besoins de documentation peuvent varier d’un organisme à l’autre.