La gestion de la documentation en matière de protection des données personnelles est ardue, en particulier pour les multinationales soumises à des lois et des besoins métiers différents. Cet article propose une synthèse des fondamentaux à appliquer. Ces éléments sont détaillés dans nos formations préparant à la certification européenne CIPP/E de l'IAPP et à la certification DPO France mise en place par la CNIL. 

Les basiques

Avant de créer un nouveau document ou une nouvelle procédure, il faut répondre à deux questions. La première est pourquoi ? L’objectif du document peut être de répondre à des exigences légales et contractuelles (par exemple l’obligation d’un hébergeur données de santé en France de préciser les modalités d’audit pour ses clients), aux besoins métiers (en particulier en termes de marketing) ou à des nécessités organisationnelles. La deuxième question est à qui s’adresse le document ? Ce point est important car il permet de cibler le message à son audience pour éviter de rédiger des documents trop longs et « enfoncer des portes ouvertes ». Les documents s’adressant à des clients (par exemple les notifications d’un site WEB lors de la collecte de données), à des juristes (par exemples des clauses contractuelles) ou aux employés (par exemple une procédure de notification d’incident) seront différents car l’audience et la maitrise du sujet ne sont les mêmes.

Les catégories

La documentation peut être catégorisée de la manière suivante :

• Les notices et mentions information. Par exemple, l’information des salariés en cas de géolocalisation des véhicules. Les recommandations des autorités nationales de régulation (CNIL en France) et les lignes directrices (groupe de travail WP29 remplacé en mai 2018 par l’EDPB - European Data Protection Board) sont très utiles. Le contenu de ces notices a trait au périmètre, aux finalités du traitement, aux catégories de données, aux partages et aux accès aux données, à la localisation, à la durée de conservation, aux modalités d’accès et de corrections des personnes concernées. Pour une multinationale, si les traitements peuvent être les mêmes, il est généralement recommandé d’avoir des contenus adaptés aux pays car il peut être impraticable de définir des notices et mentions d’informations uniques.
• Les formulaires de collecte d’informations. (campagnes marketing, consentement des employés pour certains traitements). Les notions de consentement (qui constitue un des cas de légitimité du traitement) peuvent être complexes, en particuliers dans le cadre du RGPD. Les éléments à prendre en compte et à adapter au contexte juridique sont : les conditions d’obtention et la conservation de la preuve, les limites (par exemple en Europe, la légitimité d’un traitement se basant sur le consentement des employés peut être remise en cause par la jurisprudence du fait de la relation hiérarchique entre l’employeur et son employé) et les modalités de révocation.
• Les documents contractuels et les accords internes (par exemple la fiche de description de poste du DPO, les accords de confidentialité des contrats de travail, les BCR – Binding Corporate Rules, les CCT…). Les obligations contractuelles sont un autre motif légitime de traitement dans le cadre du GDPR. Par exemple, une société qui propose à ses clients des services en ligne peut choisir la voie contractuelle pour justifier le traitement de données personnelles. Les documents contractuels comprennent les éléments entre la société et ses clients finaux ainsi que les aspects liés à la sous-traitance.
• Les procédures, politiques et instructions (charte informatique, politique de sécurité de l’information, rétention des données…).
• Les formulaires (gestion des plaintes, enregistrement en ligne, informations sur les mesures de protection de l’information…).

La gestion de la documentation est un élément important de tout programme de conformité. PROSICA propose des missions de conseil et d’accompagnement pour mettre sous contrôle sa documentation. Tous les points esquissés dans cet article sont détaillés dans nos formations préparant à la certification européenne CIPP/E et à la certification DPO France.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :