Documentation d’Accountability
Le principe d’Accountability n’a pas de traduction précise en français, même s’il désigne souvent la responsabilité.
Avec l’entrée en application du RGPD en 2018, le terme d’Accountability retrouva le sens que lui avaient donné la Convention 108 du Conseil de l’Europe ou l’OCDE dans ses différents documents pour lesquels la transparence et la responsabilité des personnes morales sont essentielles.
Vous vous demandez sûrement ce que recouvre la documentation d’Accountability lorsqu’on parle de mise en conformité à la règlementation relative à la protection et à la sécurité des données, et plus spécifiquement, au RGPD.
Concrètement, l’Accountability se matérialise par la rédaction de plusieurs documents fournissant les mesures à déployer au sein de toute Organisation – Start-up, auto-entrepreneur, ETI, Grand Compte – pour accéder à la compliance ou conformité : procédures, politiques, méthodologies, référentiels, etc.
Au vu de la complexité des domaines concernés par la protection des données et de la documentation d’Accountability devant être rédigée et pour laquelle Votre personnel devra être informé et formé ou sensibilisé, il convient de confier cette tâche « titanesque » à des professionnels de la mise en conformité, comme le cabinet SMART PRIVACY CONSULTING.
Comment est constitué le dossier d’Accountability ?
En pratique, le dossier d’Accountability décrit la gouvernance des données appliquée par Votre Organisation. Il constituera un outil essentiel du DPO pour aider les opérationnels à traiter rapidement et efficacement toutes les questions relatives à la protection et à la sécurité des données à caractère personnel.
Ce dossier d’Accountability intégrera des guides, des procédures adaptées à chaque métier, comprenant des instructions simples et précises permettant d’identifier et de maitriser les problématiques RGPD rencontrées par Votre Organisation.
En outre, le dossier d’Accountability pourra être présenté par Votre DPO aux contrôleurs de l’Autorité de Contrôle (la CNIL, en France) en cas de contrôle sur place ou sur pièces. La constitution d’un dossier structuré et complet montrera aux contrôleurs que Votre Organisation s’inscrit dans une dynamique de conformité.
En interne, il Vous conviendra de Vous assurer du suivi efficace des mesures et procédures composant le dossier d’Accountability, lesquelles pourront être examinées par les contrôleurs de l’Autorité de Contrôle (la CNIL en France) qui ne se contenteront pas de contrôler l’aspect purement documentaire mais aussi la Culture relative à la protection et à la sécurité des données de Votre Organisation.
Selon le type de données traitées par Votre Organisation, le volume de données que Vous traitez et le partage que Vous réalisez des données que Vous traitez, le dossier d’Accountability pourra comporter les éléments suivants :
Les fondamentaux de la conformité
- La Politique de protection et de sécurité des données de Votre Organisation
- La documentation relative à la nomination du DPO et ses référents au sein des services, filiales ou correspondants
- La cartographie des traitements et des flux des données
- Le registre des activités de traitement et chaque fiche composant le Registre
L’information transparente des personnes concernées par le traitement de données que Vous effectuez
- La procédure sur la gestion des demandes d’exercices des droits par les salariés de l’Organisation ou par les personnes externes (consommateurs, prospects, clients) concernées par le(s) traitement(s) de données
- La Politique de confidentialité interne destinée à Vos salariés
- La Politique de confidentialité externe destinées aux candidats au recrutement
- La Politique de confidentialité externe destinée aux tiers : clients, partenaires, prestataires de service
- La Politique de confidentialité de Vos Sites et Applications
- La Politique de Cookies de Vos sites et Applications
La documentation relative à la sécurité, l’intégrité et la confidentialité des données
- La charte des bonnes pratiques informatiques et/ou la Politique de Sécurité des Systèmes d’Information (PSSI)
- La politique de conservation des données, archivage et suppression incluses pour chaque type de traitement de données
- La procédure de gestion des incidents de sécurité et des violations de données
- La procédure de gestion et de conduite des analyses d’impact sur la vie privée (PIA)
La documentation contractuelle
- La procédure d’achats prenant en considération la protection et la sécurité des données en amont de tout nouveau projet traitant des données à caractère personnel
- Le registre des sous-traitants avec leur localisation et périmètre d’activité
- La procédure sur les transferts de données personnelles vers des pays tiers, considérés comme ne possédant pas une protection de données adéquate par la Commission Européenne, en appliquant les principes des recommandations de l’EDPB pour donner suite à la décision de la CJUE dite « Schrems II », comportant notamment le « transfer impact assessment » ou TIA
- Les conventions intra-groupes ou BCR
- Les avenants RGPD avec Vos Tiers, plus communément nommés DPA ou Data Processing Addendum
- Les clauses RGPD de Vos contrats avec Vos salariés.
Le contrôle et audit de l’efficacité des mesures mises en place au sein de Votre Organisation
- La politique d’audit interne ainsi que les plans d’audit lorsque Votre Organisation gère en interne Votre SI
- La Politique d’audit de Vos sous-traitants
- La traçabilité des modifications et mises à jour de votre dossier d’Accountability
- La procédure de gestion d’un contrôle de l’Autorité de Contrôle (la CNIL en France).
Les relations avec l’Autorité de Contrôle (la CNIL en France)
- Les dossiers de PIA
- Les questions écrites à la CNIL et les réponses obtenues
- Les formalités accomplies avant le 25 mai 2018 si besoin est.
La complexité de cette documentation d’Accountability est l’affaire de professionnels chevronnés. Confiez à SMART PRIVACY CONSULTING l’élaboration de Votre Documentation d’Accountability et la Gestion du projet de mise en conformité de Votre Organisation.
Appelez-nous au + 33 6 51 81 76 98 ou contactez-nous via notre formulaire.
