La vraie nouveauté du GDPR est d’imposer des procédures, idéalement écrites, permettant la démonstration de la conformité. Dans la pratique, la CNIL demande de telles procédures qui doivent être plus ou moins fournies en fonction de la taille, du risque intrinsèque, du secteur et des souhaits de chaque entreprise. Une grande société traitant des données sensibles aura plus de procédures et beaucoup plus détaillées qu’une entreprise de taille humaine exerçant un métier traditionnel.

En pratique, il est toujours important d’avoir au minimum :

• Une procédure de mise en œuvre des droits
• Une procédure de notification de faille de sécurité
• Un tableau des durées de conservation des données et une procédure de purge

Il est souhaitable, en fonction des secteurs d’activité, d’avoir :

• Une procédure de privacy by design / PIA
• Une procédure d’audit des partenaires / fournisseurs

Le DPO ou la personne en charge de la conformité GDPR peut également avoir recours à un Manuel qui permet d’avoir toutes les règles, les modèles à utiliser, la trame du rapport annuel du DPO, les délégations de pouvoirs à mettre en place en pratique, etc…