Responsabilisation et rédaction documentaire des procédures internes

Sous l’empire de la Loi Informatique et Libertés de 1978, les responsables de traitement doivent déclarer leurs traitements de données personnelles à la CNIL en réalisant des formalités préalables. Le RGPD supprime ces formalités en instaurant une nouvelle logique de responsabilisation des acteurs du traitement de la donnée (concept de l’accountability). Les organismes doivent être en capacité de prouver à tout moment la conformité de leurs traitements aux exigences règlementaires.
Pour ce faire, la rédaction documentaire des procédures internes est incontournable. Les consultants Digitemis accompagnent les organismes dans la rédaction de leurs procédures internes en mettant en avant les mesures techniques et organisationnelles mises en place pour la sécurité des données personnelles.

L’important est de pouvoir démontrer les engagements pris par les acteurs du traitement en faveur de la protection effective des données au sein de l’organisme.
Il est donc essentiel que les procédures internes de mise en conformité au RGPD soient écrites. Ces documents permettent à l’organisme d’attester de la mise en place de mesures et d’outils garantissant la protection des données à caractère personnel.
La preuve de la conformité au Règlement du traitement mis en œuvre s’avère importante voire indispensable. C’est le cas dans l’hypothèse d’un contrôle de la CNIL, pour lequel elle demande la présentation de certains documents.
Outre l’aspect législatif, être capable de témoigner auprès de ses clients de son engagement pour la protection de leurs données personnelles est un argument commercial de taille permettant aujourd’hui de se distinguer de la concurrence.

Le Règlement vise directement les responsables de traitement. Mais le délégué à la protection des données est également un acteur important pour l’élaboration de la documentation.
Mais sa mise en application au sein de l’organisme peut passer par plusieurs services. Le service des ressources humaines, le service juridique, le service informatique ou encore le service administratif sont concernés.

Digitemis conseille les responsables de traitement dans l’élaboration du corpus documentaire. Il est notamment recommandé de prévoir un code de conduite, définissant la politique de l’organisme en matière de protection des données.
Nous proposons de nombreux outils de mise en œuvre de la protection des données personnelles. Ils concernent par exemple les processus de recrutement (création d’une fiche explicative des droits dont disposent les personnes concernées) ou les procédures internes de gestion des réclamations et des demandes d’exercice des droits.