12. Tableau synthétique des exigences RGPD
| Catégorie | Exigence | Qui est concerné ? | Obligatoire ? | Détail / contenu | Article(s) RGPD | Fréquence / délai | Preuve attendue |
|---|---|---|---|---|---|---|---|
| Documentation | Registre des traitements | Responsable / Sous-traitant | ✅ | Finalité, données, base légale, durée, sécurité, destinataires | Art. 30 | Mise à jour régulière | Registre daté et signé |
| Sécurité | AIPD (analyse d’impact) | Responsable | ✅ si risque élevé | Évaluation formalisée des risques et impacts | Art. 35 | Avant mise en œuvre | Rapport complet signé |
| Gouvernance | Désignation d’un DPO | Organisme public ou traitement à grande échelle | ✅ dans certains cas | Délégué indépendant, formé, point de contact | Art. 37-39 | Permanent | Lettre de mission, fiche de fonction |
| Droits | Information des personnes | Responsable | ✅ | Mentions claires sur les droits, finalités, DPO | Art. 12-14 | À la collecte | Mentions visibles / politiques |
| Droits | Accès aux données | Responsable | ✅ | Fournir une copie + informations dans le mois | Art. 15 | À chaque demande | Preuve d’envoi, registre des demandes |
| Droits | Rectification des données | Responsable | ✅ | Correction de données inexactes ou incomplètes | Art. 16 | À chaque demande | Journal de traitement |
| Droits | Effacement (« oubli ») | Responsable | ✅ dans certains cas | Suppression définitive sur demande ou illégalité | Art. 17 | À la demande | Rapport de purge / preuve suppression |
| Droits | Opposition / limitation / portabilité | Responsable | ✅ | Respect de la volonté de la personne concernée | Art. 18-21 | À la demande | Archive des réponses / système actif |
| Sous-traitance | Contrats RGPD | Responsable | ✅ | Clauses sur sécurité, sous-traitance, confidentialité | Art. 28 | Avant traitement | Copie du contrat |
| Sécurité | Mesures techniques et organisationnelles | Responsable / Sous-traitant | ✅ | Cloisonnement, journalisation, gestion des accès, sauvegardes | Art. 32 | Continue | Politique sécurité, preuves d’audit |
| Notification | Notification CNIL | Responsable | ✅ si risque | Dans les 72h après découverte | Art. 33 | Dès la violation | Formulaire CNIL, journal de notification |
| Notification | Information des personnes | Responsable | ✅ si risque élevé | Communication transparente des impacts et mesures | Art. 34 | Dès que possible | Message envoyé, preuve réception |
| Transferts | Évaluation + garanties (CCT, BCR…) | Responsable | ✅ si pays non adéquat | Analyse du pays tiers, garanties contractuelles | Art. 44-49 | Avant transfert | Évaluation, CCT signées |
| Preuve | Accountability | Responsable | ✅ | Capacité à démontrer à tout moment la conformité | Art. 5.2 | Continue | Documentation complète, traçabilité |
Info
Ce tableau permet une vision globale, opérationnelle et à jour des principales obligations imposées par le RGPD.