La vraie nouveauté du GDPR est d’imposer des procédures, idéalement écrites, permettant la démonstration de la conformité. Dans la pratique, la CNIL demande de telles procédures qui doivent être plus ou moins fournies en fonction de la taille, du risque intrinsèque, du secteur et des souhaits de chaque entreprise. Une grande société traitant des données sensibles aura plus de procédures et beaucoup plus détaillées qu’une entreprise de taille humaine exerçant un métier traditionnel.
En pratique, il est toujours important d’avoir au minimum :
Une procédure de mise en œuvre des droits
Une procédure de notification de faille de sécurité
Un tableau des durées de conservation des données et une procédure de purge
Il est souhaitable, en fonction des secteurs d’activité, d’avoir :
Une procédure de privacy by design / PIA
Une procédure d’audit des partenaires / fournisseurs
Le DPO ou la personne en charge de la conformité GDPR peut également avoir recours à un Manuel qui permet d’avoir toutes les règles, les modèles à utiliser, la trame du rapport annuel du DPO, les délégations de pouvoirs à mettre en place en pratique, etc…