C’est en tout cas l’un des moyens ayant permis à l’autorité de protection des données irlandaises de sanctionner un groupe d’EHPAD pour manquement aux principes d’intégrité et de confidentialité et à l’obligation de sécurité : DPC, 20 décembre 2022, Virtue Integrated Elder Care Ltd.
Déjà, en juin 2022 et avril 2021, les CNIL italienne et tchèque avaient-elles pu considérer qu’un document obsolète et incomplet violait le principe de licéité, loyauté, transparence : GPDP, 9 juin 2022, Cne de Policoro, n° 9794895 et UOOU, 29 avril 2021, n° UOOU-00374-20.
Plus récemment, c’est l’absence de mention de la base juridique du traitement que l’autorité italienne a sanctionné. Et ce rien de moins qu’en interdisant temporairement le traitement : GPDP, 2 février 2023, Replika, n° 9852214.
Nul doute également que le principe de responsabilité devrait commander que le responsable de traitement tienne sa documentation à jour, plutôt que de la laisser prendre la poussière, même virtuellement.