Plan d’actions

Le plan d’actions et de remédiations comprend traditionnellement un ou plusieurs des éléments suivants:

  • Formations
    • Formation du DPO
    • Formation des équipes en contact avec les clients
    • Formation des équipes en relation avec les données personnelles
  • Documentation juridique
    • Registre des activités
    • Insertion de clauses GDPR dans les documents RH (contrat de travail, RI)
    • Insertion de clauses GDPR dans les documents clients
    • Insertion de clauses GDPR dans les contrats partenaires
    • Création ou modification d’un contrat type « sous-traitant » / prestataire de service comprenant l’ensemble des thématiques GDPR
    • Création d’un document à vocation contractuelle synthétisant la politique « GDPR » du client
  • Documentation technique
    • Cahiers des procédures relatifs aux droits des personnes (droit à la portabilité, droit d’accès, etc..)
    • Cahiers de procédure en cas de violation de sécurité
    • Documentation et cahier de procédure relatif au privacy by design
    • Documentation et application pour toute mise en oeuvre d’un Privacy Impact Assessment
    • Documentation de sécurisation des données et des traitements
    • SLA
    • PRA / PCA
    • Mise en place et documentation des politiques de purge
  • Audits
    • Mise en place et documentation d’audits GDPR annuellement
    • Mise en place et documentation de tests de sécurité / stress tests
    • Documentation et réalisation d’audits auprès des principaux prestataires de service traitant des données personnelles

Pour la détermination de l’ensemble de ces documents et procédures, il sera nécessaire que chaque entité définisse, en interne et au plus haut niveau, une politique « GDPR » qui devra tenir compte de l’ensemble des thématiques