Mise en place de politiques internes spsti de gestion des données : Dans le cadre de la mise en conformité RGPD des SPSTi en vue de leur certification AFNOR SPEC 2217, nous vous présentons la partie 2 : les politiques internes

La mise en place de politiques internes solides et cohérentes de gestion des données est une étape capitale pour garantir la conformité au RGPD. Ces politiques doivent couvrir tous les aspects du traitement des données personnelles, notamment la collecte, le stockage, l’accès, le partage, la conservation et la suppression des données. Elles doivent également inclure des procédures pour répondre aux demandes d’accès aux données, pour signaler les violations de données aux autorités compétentes, et pour effectuer régulièrement des audits de conformité au RGPD. 

Politique de collecte des données : Ce document définit quand, comment et quelles données personnelles peuvent être collectées.

Politique de stockage des données : Ce document spécifie où les données sont stockées, qui y a accès et comment elles sont sécurisées.

Politique d’accès aux données : Ce document établit qui peut accéder aux données personnelles et dans quelles conditions.

Politique de partage des données : Cette politique définit les conditions et les circonstances dans lesquelles les données peuvent être partagées avec des tiers.

Politique de conservation des données : Ce document spécifie combien de temps les données sont conservées et comment elles sont détruites une fois ce délai passé.

Politique de suppression des données : Ce document établit les procédures à suivre pour supprimer les données personnelles lorsqu’elles ne sont plus nécessaires ou lorsque l’individu concerné a demandé leur suppression.

Procédures pour répondre aux demandes d’accès aux données : Ces procédures fournissent un guide détaillé sur la manière de répondre aux demandes d’accès aux données de la part des individus concernés.

Procédures pour signaler les violations de données : Ces procédures établissent les étapes à suivre en cas de violation de la sécurité des données, y compris la manière de signaler de tels incidents aux autorités de contrôle.

Politique d’audit de conformité RGPD : Ce document spécifie comment, quand et par qui les audits de conformité au RGPD seront effectués au sein de l’organisation.

Chacun de ces documents est un élément essentiel de la politique globale de gestion des données personnelles d’une organisation et aide à garantir que l’organisation respecte les exigences du RGPD.

Dans le cadre du RGPD, ces informations sont généralement consignées dans un document appelé le “Registre des activités de traitement“. Ce registre est un document central requis par l’article 30 du RGPD, qui doit être maintenu par le responsable du traitement et le sous-traitant.

Le Registre des activités de traitement doit inclure :

Le nom et les coordonnées du responsable du traitement et, le cas échéant, du sous-traitant, du représentant du responsable du traitement et du délégué à la protection des données.

Les finalités du traitement.

Une description des catégories de personnes concernées et des catégories de données à caractère personnel.

Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales.

Les transferts de données à caractère personnel à un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts mentionnés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées.

Lorsque cela est possible, les délais prévus pour l’effacement des différentes catégories de données.

Lorsque cela est possible, une description générale des mesures de sécurité techniques et organisationnelles mentionnées à l’article 32, paragraphe 1.

Il est à noter que le registre des activités de traitement n’est pas une exigence pour toutes les entreprises. En général, elle s’applique aux entreprises de plus de 250 employés, mais aussi aux petites entreprises qui traitent des données sensibles, qui effectuent des traitements de données à grande échelle ou qui traitent régulièrement des données à caractère personnel. Cependant, il est généralement considéré comme une bonne pratique pour toutes les entreprises de maintenir un tel registre pour aider à démontrer leur conformité au RGPD.

Télécharger notre livre blanc : Conformité RGPD / AFNOR SPEC 2217

Télécharger notre livre : Conformité RGPD SPST: Analyse de l’impact du RGPD dans un Service d Prévention en Santé au Travail, sensibilisation du responsable de traitement, piste d’audit et contrôles de la mission du DPO