Politique de gestion des informations documentées et des éléments de preuve du PIMS

La Politique de gestion des informations documentées et des éléments de preuve du PIMS définit les exigences obligatoires de contrôle du cycle de vie complet des informations documentées du système de management des informations relatives à la vie privée. Son champ d’application couvre la création, l’approbation, la gestion des versions, la protection, la conservation, la récupération, la traduction, le retrait et la constitution des éléments de preuve des enregistrements du PIMS. La politique s’applique aux politiques PIMS, aux registres, aux approbations documentées, aux enregistrements d’éléments de preuve, aux éléments probants d’audit, aux enregistrements de revue de direction, aux éléments de preuve d’actions correctives et aux traductions maîtrisées utilisés pour démontrer la conformité du PIMS. Elle est rédigée pour les contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur, ce qui la rend applicable aux rôles qu’une organisation peut tenir lorsqu’elle traite des données à caractère personnel. Une caractéristique centrale de la politique est son recours aux éléments de preuve canoniques du PIMS REG01 à REG12 plutôt qu’à la création d’un registre distinct de contrôle documentaire. La politique précise que les éléments de preuve relatifs au contrôle des informations documentées sont maintenus au moyen de ces éléments de preuve, REG03 et REG12 étant spécifiquement utilisés pour les éléments de preuve relatifs à l’applicabilité des contrôles, à l’audit, à la non-conformité, aux actions correctives et à l’amélioration. Cette approche vise à éviter une bureaucratie documentaire inutile tout en préservant des enregistrements compatibles avec les exigences d’audit pour la certification, l’assurance demandée par les clients et l’amélioration continue. REG12 est largement utilisé pour l’index des informations documentées, les niveaux d’accès, les classifications de sensibilité, le statut d’approbation, l’historique des versions, les demandes de récupération, les approbations de divulgation, les catégories de conservation, le statut de retrait, les exceptions et le suivi des actions correctives. La politique établit des contrôles détaillés pour la création, l’approbation, la gestion des versions et la publication. Avant de publier des informations documentées du PIMS, le responsable de la protection des données / responsable du PIMS doit attribuer un identifiant de document, un propriétaire, un numéro de version, un statut d’approbation, une date d’entrée en vigueur et une date de revue dans REG12. Le Top Management doit approuver les politiques PIMS essentielles et les modifications substantielles des politiques avant publication, tandis que le responsable de la protection des données / responsable du PIMS approuve les modèles d’éléments de preuve ou les sections intégrées de registre avant leur utilisation opérationnelle. La politique exige également que l’historique des versions et la justification des changements soient enregistrés avant la mise en production, et que la communication des changements approuvés soit enregistrée dans REG11 dans les 30 jours suivant la publication. La qualité et la traçabilité des éléments de preuve sont traitées comme des exigences opérationnelles, et non comme des tâches documentaires facultatives. Le responsable de la protection des données / responsable du PIMS doit définir les conventions de nommage des éléments de preuve, rapprocher trimestriellement les références de contrôle de REG03 avec les enregistrements d’éléments de preuve des politiques et avant tout audit externe, et appliquer la convention de nommage des exports approuvée avant tout partage d’éléments de preuve pour un audit de certification, une assurance demandée par les clients ou une réponse réglementaire. Les responsables de processus / propriétaires de l’entreprise doivent s’assurer que les éléments de preuve relatifs aux traitements incluent le propriétaire des éléments de preuve, la date, la référence de l’activité de traitement, le statut de décision et le statut d’approbation avant qu’ils ne soient utilisés pour l’audit. Les réviseurs d’audit interne / de conformité doivent enregistrer les lacunes de complétude, d’exactitude ou de traçabilité lors des audits programmés ou des revues de conformité. La politique définit également des contrôles relatifs à l’accès, à la protection, à la récupération, à la divulgation, à la conservation, au retrait, à l’archivage, à l’élimination et au contrôle des versions multilingues. Les restrictions d’accès au référentiel doivent être enregistrées avant l’octroi de l’accès et revues trimestriellement, et l’accès aux éléments de preuve du PIMS contenant des données à caractère personnel doit être approuvé avant d’être accordé. Les divulgations d’éléments de preuve à des auditeurs externes, des clients, des sous-traitants, des responsables du traitement, des autorités de contrôle ou d’autres parties externes exigent l’enregistrement de l’approbation et du périmètre de divulgation. Les versions obsolètes doivent être retirées dans les délais définis, les versions antérieures approuvées des politiques doivent être conservées, et l’archivage ou la suppression ne doit pas intervenir avant vérification des dépendances liées à un gel d’audit, à un gel légal, à une investigation d’incident ou à une action corrective. Les indicateurs, la gestion des exceptions, la mise en application et les exigences de revue annuelle garantissent que les informations documentées restent à jour, récupérables, protégées et alignées sur les besoins de conformité du PIMS.