Village de la Justice www.village-justice.com
Accountability et RGPD : liste des documents contenus dans le dossier de conformité. Par Donatienne Blin, Avocate.
Parution : lundi 13 janvier 2020
Adresse de l'article original :
https://www.village-justice.com/articles/accountability-rgpd-liste-des-documents-contenus-dans-dossier-conformite,33433.html
Reproduction interdite sans autorisation de l'auteur.

L’accountability est un principe issu de l’article 5 du RGPD, désignant selon la CNIL « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».
En synthèse, l’accountability implique, pour les organismes traitant des données personnelles :
- De déployer les mesures appropriées (techniques, organisationnelles, contractuelles, etc.) pour se conformer au RGPD ;
- D’être en mesure de démontrer sa conformité au RGPD à tout moment.
Cette démonstration se base notamment sur la production d’une documentation exhaustive et détaillée, décrivant l’ensemble des procédures et des bonnes pratiques appliquées par l’organisme en matière de données personnelles.

Définition et portée.

Le principe d’accountability peut se traduire en français par la notion de « responsabilisation ».

Depuis l’entrée en vigueur du RGPD [1], le 25 mai 2018, les organismes traitant des données personnelles n’ont plus à effectuer de formalités préalables à la CNIL avant de mettre en œuvre leurs traitements [2].

En contrepartie de cet allègement des formalités, ils doivent « rendre des comptes » à la CNIL et aux personnes auprès desquelles ils collectent les données, et assumer les conséquences et les sanctions en cas de non-conformité à la réglementation sur les données personnelles.

Par « conformité à la réglementation sur les données personnelles », il faut entendre le respect des principes majeurs listés à l’article 5 du RGPD [3], ci-dessous rappelés brièvement :
- Licéité du traitement de données personnelles : obligation de baser le traitement sur l’un des fondements juridiques prévus par le RGPD (intérêt légitime, obligation légale, contrat, etc.) ;
- Loyauté et transparence : obligation d’informer les personnes sur les conditions de traitement et de respecter leurs droits (accès, rectification, suppression, portabilité, etc.) ;
- Limitation des finalités : obligation de ne collecter les données que pour des finalités déterminées, explicites et légitimes ;
- Minimisation des données : les données collectées doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à l’objectif poursuivi ;
- Exactitude des données : les données doivent être exactes et mises à jour ;
- Limitation de la conservation : les données doivent être conservées uniquement le temps nécessaire à l’accomplissement de la finalité, puis supprimées, archivées ou anonymisées ;
- Intégrité et confidentialité : la sécurité des données doit être garantie, notamment contre la perte et la destruction illicite ou accidentelle.

Ces principes doivent guider les entreprises dans leur chantier de mise en conformité RGPD.

En pratique : le contenu du dossier de conformité.

Concrètement, l’accountability se matérialise par la rédaction de plusieurs documents (procédures, politiques, méthodologies, chartes, référentiels, codes de conduite, etc.) formalisant les mesures déployées pour atteindre la compliance.

Ces livrables documentaires doivent être classés par thème, centralisés et conservés sous forme électronique et/ou papier par le DPO [4] dans un dossier de conformité ou « dossier d’accountability », décrivant de manière circonstanciée la gouvernance appliquée par l’entreprise sur les données qu’elle traite.

Ce dossier d’accountability constituera un outil essentiel du DPO pour aider les métiers à traiter rapidement et de manière efficace toutes les questions liées aux données personnelles. Le dossier pourra ainsi intégrer des guides et outils pratiques adaptés au terrain opérationnel, comprenant des instructions simples, précises et séquencées permettant d’identifier et de maîtriser les problématiques RGPD rencontrées par l’organisme.

Par exemple, une procédure de gestion des violations de données déjà rédigée et intégrée au dossier d’accountability permettra, en cas d’incident, de réagir immédiatement en suivant pas à pas des étapes visant à endiguer la violation. De même, une procédure sur la gestion des droits d’accès RGPD décrira la marche à suivre et les consignes pour réaliser un diagnostic rapide de la recevabilité de la demande, puis la traiter grâce à un plan d’actions pré-établi et des discours types pré-rédigés.

Par ailleurs, tout ou partie des pièces composant le dossier d’accountability pourra être immédiatement présenté par le DPO aux auditeurs de la CNIL en cas de contrôle sur place ou sur pièce. La constitution en amont d’un dossier structuré et approfondi montrera aux auditeurs que l’organisme est diligent, a anticipé les risques et s’inscrit dans une dynamique de compliance assidue.

Selon le contexte (nature et volume des données traitées notamment), le dossier d’accountability devra comporter les documents suivants, classés par thèmes :

Les fondamentaux de la conformité :
- Code d’éthique sur les principes fondamentaux appliqués par l’organisme
- Documentation relative à la nomination du DPO et ses relais locaux
- Cartographie des traitements et schémas des flux de données
- Registre des traitements
- Fiches par traitement (précisions et justifications détaillées des choix et prises de position effectuées)

Transparence et information des personnes :
- Procédure sur la gestion des demandes de droits d’accès RGPD par les salariés (suppression, opposition, portabilité, etc.)
- Procédure sur la gestion des demandes de droits d’accès RGPD par les clients
- Politique de confidentialité interne destinée aux salariés de l’organisme
- Politique de confidentialité externe destinée aux candidats au recrutement
- Politique de confidentialité externe destinée aux clients de l’organisme
- Politique de confidentialité externe destinée aux partenaires/fournisseurs
- Politique de confidentialité du site web et gestion des cookies
- Formulaires de consentement
- Modalités de gestion des preuves des recueils de consentements (traçabilité)
- Formulaires types permettant l’exercice des droits RGPD par les salariés et clients
- Traçabilité des traitements effectués en réponse aux demandes d’exercice des droits RGPD

Sécurité, intégrité et confidentialité :
- Politique de Sécurité des Systèmes d’Informations (PSSI)
- Procédure sur les durées de conservation des données, l’archivage et la suppression
- Procédure sur la gestion et la notification des violations de données (data breach)
- Procédure sur la gestion et la conduite des analyses d’impact
- Procédure d’anonymisation/de pseudonymisation des données
- Procédure sur la gestion des projets impliquant les principes de privacy by design/ by default
- Codes de conduite par métier sur les conditions de traitement des données personnelles (DSI, RH, marketing, innovation)
- Charte informatique
- Règlement intérieur
- Rapports des tests d’intrusion et plans d’actions de régularisation
- Rapports des analyses d’impact effectuées sur les traitements à risque
- Traçabilité des data breach et conditions de traitement des incidents rencontrés
- PCA - PRA
- Support de sensibilisation/formation RGPD des salariés, feuilles de présence et thèmes abordés
- Certification ISO

Aspects contractuels :
- Politique d’éthique du choix des fournisseurs et partenaires (sous-traitants)
- Liste exhaustive des sous-traitants RGPD, localisation et périmètre d’activité
- Procédure sur le transfert des données personnelles hors UE
- Convention intragroupe, BCR
- Contrats sous-traitants / avenants RGPD
- Contrat de travail des salariés (RH, DSI, marketing, etc.) traitant les données (clause sur obligation de confidentialité spécifique)

Contrôle et audit de l’efficacité des mesures déployées :
- Politique d’audit interne (périodicité, périmètre contrôlé, plan d’audit, tests sur échantillons aléatoires)
- Politique d’audit des sous-traitants (périodicité, périmètre contrôlé, plan d’audit)
- Comptes rendus des audits internes et indépendants effectués
- Plans d’actions de régularisation
- Traçabilité des modifications et mises à jour apportées au dossier d’accountability

Relations CNIL :
- Déclarations de conformité, demandes d’autorisations, demandes d’avis
- Questions écrites posées via le site web de la CNIL et réponses obtenues
- Ancien label CNIL, certifications à venir
- Formalités effectuées avant 2018 (si nécessaires)

Au niveau opérationnel, il faudra bien entendu s’assurer en interne de l’effectivité et de l’efficacité des mesures et procédures décrites dans le dossier d’accountability que l’organisme affirme avoir mis en place. Celles-ci seront nécessairement contrôlées par les auditeurs de la CNIL, qui ne se contenteront pas d’auditer l’aspect purement documentaire. Ces derniers pourront prononcer les sanctions prévues par le RGPD (4% du CA mondial) à défaut pour l’organisme de pouvoir démontrer sa conformité, et ce, même en l’absence de violation de données ou de plainte.

Donatienne Blin Avocate IT / Data LexCase Société d’Avocats

[1Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[2Sauf exception, notamment en matière de santé

[3Les principes sont plus amplement déclinés aux chapitres II et III du RGPD

[4Data Protection Officer ou Délégué à la Protection des Données

Comentaires: