Accountability et RGPD : liste des documents contenus dans le dossier de conformité.

Définition et portée.

Le principe d’accountability peut se traduire en français par la notion de « responsabilisation ».

Depuis l’entrée en vigueur du RGPD [1], le 25 mai 2018, les organismes traitant des données personnelles n’ont plus à effectuer de formalités préalables à la CNIL avant de mettre en œuvre leurs traitements [2].

En contrepartie de cet allègement des formalités, ils doivent « rendre des comptes » à la CNIL et aux personnes auprès desquelles ils collectent les données, et assumer les conséquences et les sanctions en cas de non-conformité à la réglementation sur les données personnelles.

Par « conformité à la réglementation sur les données personnelles », il faut entendre le respect des principes majeurs listés à l’article 5 du RGPD [3], ci-dessous rappelés brièvement :
 Licéité du traitement de données personnelles : obligation de baser le traitement sur l’un des fondements juridiques prévus par le RGPD (intérêt légitime, obligation légale, contrat, etc.) ;
 Loyauté et transparence : obligation d’informer les personnes sur les conditions de traitement et de respecter leurs droits (accès, rectification, suppression, portabilité, etc.) ;
 Limitation des finalités : obligation de ne collecter les données que pour des finalités déterminées, explicites et légitimes ;
 Minimisation des données : les données collectées doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à l’objectif poursuivi ;
 Exactitude des données : les données doivent être exactes et mises à jour ;
 Limitation de la conservation : les données doivent être conservées uniquement le temps nécessaire à l’accomplissement de la finalité, puis supprimées, archivées ou anonymisées ;
 Intégrité et confidentialité : la sécurité des données doit être garantie, notamment contre la perte et la destruction illicite ou accidentelle.

Ces principes doivent guider les entreprises dans leur chantier de mise en conformité RGPD.

En pratique : le contenu du dossier de conformité.

Concrètement, l’accountability se matérialise par la rédaction de plusieurs documents (procédures, politiques, méthodologies, chartes, référentiels, codes de conduite, etc.) formalisant les mesures déployées pour atteindre la compliance.

Ces livrables documentaires doivent être classés par thème, centralisés et conservés sous forme électronique et/ou papier par le DPO [4] dans un dossier de conformité ou « dossier d’accountability », décrivant de manière circonstanciée la gouvernance appliquée par l’entreprise sur les données qu’elle traite.

Ce dossier d’accountability constituera un outil essentiel du DPO pour aider les métiers à traiter rapidement et de manière efficace toutes les questions liées aux données personnelles. Le dossier pourra ainsi intégrer des guides et outils pratiques adaptés au terrain opérationnel, comprenant des instructions simples, précises et séquencées permettant d’identifier et de maîtriser les problématiques RGPD rencontrées par l’organisme.

Par exemple, une procédure de gestion des violations de données déjà rédigée et intégrée au dossier d’accountability permettra, en cas d’incident, de réagir immédiatement en suivant pas à pas des étapes visant à endiguer la violation. De même, une procédure sur la gestion des droits d’accès RGPD décrira la marche à suivre et les consignes pour réaliser un diagnostic rapide de la recevabilité de la demande, puis la traiter grâce à un plan d’actions pré-établi et des discours types pré-rédigés.

Par ailleurs, tout ou partie des pièces composant le dossier d’accountability pourra être immédiatement présenté par le DPO aux auditeurs de la CNIL en cas de contrôle sur place ou sur pièce. La constitution en amont d’un dossier structuré et approfondi montrera aux auditeurs que l’organisme est diligent, a anticipé les risques et s’inscrit dans une dynamique de compliance assidue.

Selon le contexte (nature et volume des données traitées notamment), le dossier d’accountability devra comporter les documents suivants, classés par thèmes :

Les fondamentaux de la conformité :
 Code d’éthique sur les principes fondamentaux appliqués par l’organisme
 Documentation relative à la nomination du DPO et ses relais locaux
 Cartographie des traitements et schémas des flux de données
 Registre des traitements
 Fiches par traitement (précisions et justifications détaillées des choix et prises de position effectuées)

Transparence et information des personnes :
 Procédure sur la gestion des demandes de droits d’accès RGPD par les salariés (suppression, opposition, portabilité, etc.)
 Procédure sur la gestion des demandes de droits d’accès RGPD par les clients
 Politique de confidentialité interne destinée aux salariés de l’organisme
 Politique de confidentialité externe destinée aux candidats au recrutement
 Politique de confidentialité externe destinée aux clients de l’organisme
 Politique de confidentialité externe destinée aux partenaires/fournisseurs
 Politique de confidentialité du site web et gestion des cookies
 Formulaires de consentement
 Modalités de gestion des preuves des recueils de consentements (traçabilité)
 Formulaires types permettant l’exercice des droits RGPD par les salariés et clients
 Traçabilité des traitements effectués en réponse aux demandes d’exercice des droits RGPD

Sécurité, intégrité et confidentialité :
 Politique de Sécurité des Systèmes d’Informations (PSSI)
 Procédure sur les durées de conservation des données, l’archivage et la suppression
 Procédure sur la gestion et la notification des violations de données (data breach)
 Procédure sur la gestion et la conduite des analyses d’impact
 Procédure d’anonymisation/de pseudonymisation des données
 Procédure sur la gestion des projets impliquant les principes de privacy by design/ by default
 Codes de conduite par métier sur les conditions de traitement des données personnelles (DSI, RH, marketing, innovation)
 Charte informatique
 Règlement intérieur
 Rapports des tests d’intrusion et plans d’actions de régularisation
 Rapports des analyses d’impact effectuées sur les traitements à risque
 Traçabilité des data breach et conditions de traitement des incidents rencontrés
 PCA - PRA
 Support de sensibilisation/formation RGPD des salariés, feuilles de présence et thèmes abordés
 Certification ISO

Aspects contractuels :
 Politique d’éthique du choix des fournisseurs et partenaires (sous-traitants)
 Liste exhaustive des sous-traitants RGPD, localisation et périmètre d’activité
 Procédure sur le transfert des données personnelles hors UE
 Convention intragroupe, BCR
 Contrats sous-traitants / avenants RGPD
 Contrat de travail des salariés (RH, DSI, marketing, etc.) traitant les données (clause sur obligation de confidentialité spécifique)

Contrôle et audit de l’efficacité des mesures déployées :
 Politique d’audit interne (périodicité, périmètre contrôlé, plan d’audit, tests sur échantillons aléatoires)
 Politique d’audit des sous-traitants (périodicité, périmètre contrôlé, plan d’audit)
 Comptes rendus des audits internes et indépendants effectués
 Plans d’actions de régularisation
 Traçabilité des modifications et mises à jour apportées au dossier d’accountability

Relations CNIL :
 Déclarations de conformité, demandes d’autorisations, demandes d’avis
 Questions écrites posées via le site web de la CNIL et réponses obtenues
 Ancien label CNIL, certifications à venir
 Formalités effectuées avant 2018 (si nécessaires)

Au niveau opérationnel, il faudra bien entendu s’assurer en interne de l’effectivité et de l’efficacité des mesures et procédures décrites dans le dossier d’accountability que l’organisme affirme avoir mis en place. Celles-ci seront nécessairement contrôlées par les auditeurs de la CNIL, qui ne se contenteront pas d’auditer l’aspect purement documentaire. Ces derniers pourront prononcer les sanctions prévues par le RGPD (4% du CA mondial) à défaut pour l’organisme de pouvoir démontrer sa conformité, et ce, même en l’absence de violation de données ou de plainte.