La société ou l’organisation est tenue d’établir une documentation interne sur ses traitements. Les catégories de données personnelles (celles visées au registre type de la CNIL.) impliquées dans le cadre de chaque traitement doivent être identifiées afin de pouvoir (i) respecter le principe général de minimisation, (ii) remplir le registre des traitements, (iii) identifier si des données sensibles sont traitées et (iv) de disposer des éléments nécessaires permettant de réaliser si besoin, une éventuelle PIA ou DPIA (Privacy Impact Assessment ou Analyse d’impact sur la protection des données).