Livrables juridiques complémentaires

Accord obligatoire entre co-responsables d'un même traitement. Définit la répartition des obligations RGPD entre les parties (exercice des droits, information des personnes, sécurité, notification violations).

Article 26 RGPD + Lignes directrices CEPD 07/2020

Procédure interne pour notifier l'ANSSI en cas d'incident de sécurité (Opérateurs d'Importance Vitale et entités essentielles/importantes au sens de NIS 2). Délais cumulés : alerte 24h, rapport intermédiaire 72h, rapport final 1 mois.

NIS 2 art. 23 (transposée fin 2024) + LPM art. L. 1332-6-1 CSI pour OIV

Charte interne encadrant l'usage de l'IA par les collaborateurs (IA Act UE 2024/1689 + RGPD art. 22). Définit les usages autorisés, les interdictions, les obligations de transparence et la classification de risque.

Règlement IA Act (UE 2024/1689) + RGPD art. 22 (décision automatisée) + Lignes directrices CNIL « IA »

Convention de sous-traitance ou de mise à disposition de services entre entités d'un même groupe. Cas typique : SI RH groupé, CRM partagé, comptabilité centralisée. Différent d'un DPA classique car les transferts intra-groupe ont leurs propres règles (BCR-T, art. 47, CEPD WP265).

Article 28 RGPD + Article 47 (BCR si transferts hors UE) + CEPD WP265 sur la définition de RT/ST intra-groupe

Document d'analyse à produire AVANT tout transfert de données vers un pays tiers (hors UE/EEE/pays adéquat), conformément à l'arrêt Schrems II et aux recommandations CEPD 01/2020. Évalue si le pays destinataire offre un niveau de protection équivalent à celui de l'UE.

Articles 44-49 RGPD + Arrêt CJUE Schrems II (C-311/18, 16 juillet 2020) + Recommandations CEPD 01/2020 + 02/2020

Procédure interne pour gérer un contrôle de la CNIL (sur place, sur audition, en ligne, sur pièces). Définit le rôle de chaque interlocuteur, les pièces à préparer, les délais de réponse, et les bonnes pratiques de coopération.

Loi Informatique et Libertés art. 19-23 + Décret n° 2019-536 + Charte CNIL des droits du contrôlé