Le bilan annuel est un outil précieux – Faisons-en une bonne pratique

Par Bruno RASLE • Expert RGPD - Formateur de DPO • 29 mars 2020 •

Ce texte est une version revue et mise à jour du chapitre « Le bilan annuel du CIL : corvée ou outil de conduite de changement ? » qui figurait dans le livre « Correspondant Informatique et Libertés : bien plus qu’un métier », publié en 2015 par l’AFCDP. À l’époque, le projet du RGPD faisait disparaître l’ancienne obligation qu’avaient les Correspondants Informatique et Libertés d’établir chaque année un rapport de leur activité et de le présenter à leur responsable de traitement. Convaincue que c’était là un exercice salutaire et l’un des leviers précieux pour le Data Protection Officer, l’AFCDP a obtenu que la démarche figure en tant que bonne pratique au sein des lignes directrices que le G29 a consacrées au DPO (endossées par le CEPD). À l’heure où certains professionnels ont du mal à se faire entendre, à obtenir les moyens de leurs actions, voire à défendre leur indépendance, il est bon de rappeler les vertus de cet outil de conduite du changement afin d’inciter les DPO internes récemment désignés à reprendre le flambeau.

Le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 modifiée précisait dans son article 49 que le Correspondant Informatique et Libertés (le précurseur du Délégué à la Protection des Données) « établit un bilan annuel de ses activités qu'il présente au responsable des traitements et qu'il tient à la disposition de la commission ».  

Cette pratique n’a rien d’exceptionnel : La norme ISO27000 (norme internationale de système de gestion de la sécurité de l'information) oblige à effectuer une revue avec la direction générale une fois par an. Dès sa parution, la formule lapidaire du décret a suscité de nombreuses questions parmi les CIL. Doit-on y relater les difficultés rencontrées ? Peut-on y décrire les non-conformités relevées ? Quelle forme prend ce bilan annuel ? Existe-t-il un « bilan type » auquel il serait possible de se référer ? Le comité d’entreprise peut-il exiger la communication du bilan ?

Pour apporter des réponses opérationnelles à ces interrogations, un groupe de travail avait été créé au sein de l’AFCDP (Association française qui regroupe les DPO et tout professionnel concerné par la conformité au RGPD et à la loi Informatique et Libertés). Les réflexions des praticiens concernés avaient permis de produire une foire aux questions (F.A.Q.) qui a été présentée à la CNIL et avait inspiré le « bilan type » proposé par la Commission Nationale de l’Informatique et des Libertés dans l’Extranet destiné aux seuls Correspondants Informatique et Libertés. Le présent texte reprend la forme de F.A.Q.  

Que mettre dans mon bilan ?

Voici une suggestion de ce que l'on peut trouver dans un bilan annuel de DPO : en préambule, une brève présentation de l’organisme (responsable des traitements) comprenant secteur d’activité, nombre d’employés, chiffre d’affaires, implantations, etc. Il suffit le plus souvent de s'inspirer du rapport annuel de l’entreprise. Puis la genèse de la désignation du DPO (le responsable de traitement en avait-il l'obligation ? Est-ce la première désignation ou un remplacement ? Le remplacement d'un DPO externe par un DPO interne ? etc.) et la présentation du DPO (date de sa désignation, statut du DPO - interne, externe, mutualisé -, statut professionnel, éventuellement compétences et formation - diplômes, expérience).

La gouvernance doit être décrite : où se situe le DPO au sein de l’organisme et quels sont les mécanismes qui lui permettent d’assurer au mieux ses missions en lien avec le responsable des traitements et l’ensemble des services concernés ? Les relations entre le DPO et le responsable des traitements méritent quelques précisions : type d’échanges, fréquence de ces échanges, moyens mis en place afin de garantir l’indépendance et la liberté d’action du DPO, etc. Les moyens mis à disposition du DPO peuvent également être déclinés : équipe dédiée, budget, relais (correspondants locaux) mis en place dans l’organisme.

On peut ensuite trouver une synthèse des faits marquants de l’année (points phares de l’année qui ne relèvent pas des paragraphes particuliers), tels que des sanctions ayant frappé un concurrent et dont un enseignement pourrait être tiré.  

Le registre demande à être abordé. Dans le premier bilan, on peut décrire le travail préliminaire d’établissement du registre, puis compléter avec une indication du nombre de traitements que comprend le registre, ainsi que la quantité de traitements créés, modifiés ou supprimés durant la période couverte par le bilan. Un chapitre sera consacré à la diffusion de la culture RGPD et Informatique et Libertés, avec le nombre de sessions de sensibilisation ou de formation réalisées, la description de la population qui en a bénéficié (DRH, DSI, Juristes, Chefs de projet MOA, MOE, etc.), l’animation du réseau de relais, la création par le DPO d’outils tels qu'intranet, fiches pédagogiques ou guides de bonne pratique.

Naturellement, la production de livrables sera détaillée (procédures, mémorandum, etc.) et les activités d'analyse des traitements et de conseil du DPO soigneusement décrites... avec l'indication du taux de suivi des recommandations, que ce soit par les directions Métier ou par le responsable de traitement. Le RGPD ne permettant plus au DPO de se contenter du déclaratif, le bilan devrait aborder la question des audits et du contrôle : quelles actions ont été menées à ce sujet durant la période couverte, et avec quels résultats ?

Le traitement des demandes, aussi bien internes qu'externes, mérite a minima des indicateurs, principalement sous forme de tableaux statistiques, avec le rappel du nombre de demandes de droit d’accès aux données personnelles (ou d'autres droits exercés au titre du RGPD) et le délai de traitement des demandes. Les éventuelles plaintes et réclamations formulées par les personnes concernées devraient être davantage détaillées.  

On peut consacrer une rubrique aux relations avec la CNIL (contrôles, saisines, demandes de conseil, consultation au titre de l'article 36 du RGPD, nombre de notifications de violations de données, suivi d'ateliers dispensés par la CNIL, etc.), avec l'association de DPO à laquelle le professionnel a adhéré (conférences suivies, participation à des réunions ou à la conception de livrables, etc.) ou à toute autre association professionnelle (sécurité, gestion des risques, archivage, etc.) et aux éventuels échanges avec les DPO de son secteur d'activité.

Il est utile de faire figurer dans le document une estimation de la charge de travail et une estimation de l'équilibre entre elle et les moyens... ne serait-ce que pour préparer le terrain à votre prochaine demande de budget. Ne pas oublier d'y mentionner la nécessaire veille du DPO afin qu'il puisse maintenir ses compétences.

Sans surprise, la plus grande différence entre un bilan établi par un CIL avant mai 2018 et un DPO consiste en la présence de rubriques dédiées aux analyses d'impact et aux violations de données. Le document peut alors se clore sur une mise en perspective (delta entre ce qui avait été envisagé et ce qui a été réalisé) et une description du plan d’actions pour l’année (ou les années) à venir. À titre d'exemple devrait figurer dans le bilan de l'année 2020 le rappel de l'échéance du 25 mai 2021 pour réaliser les PIA sur certains traitements mis en œuvre avant l'entrée en application du RGPD.

Naturellement, il appartient de DPO de moduler la précision et la richesse de chaque rubrique en fonction de ses besoins et du contexte.

Quelle structure pour mon bilan ? Quelle longueur doit-il faire ?

Vous êtes totalement libre de choisir la structure et la longueur qui vous paraissent appropriées. Concernant la structure du document, il est recommandé de ne pas faire trop varier la structure du rapport d’année en année. Le DPO d’une entreprise de très grande taille a intégré à son bilan un chapitre dans lequel il décrit sa « doctrine » : il y documente et argumente les analyses et positions qu’il a été amené à développer dans l’exercice de sa fonction. Ce chapitre peut s’avérer utile dans le futur afin de se remémorer la genèse de certaines prises de position (ou leur évolution).  

Dois-je faire figurer dans mon bilan annuel ma charge de travail et mes demandes en hommes, outils et moyens ?  

C’est fortement recommandé. La majorité des DPO exerce cette fonction en sus d’autres missions (RSSI, responsable qualité, contrôleur, déontologue, etc.), toutes déjà très prenantes. De plus, même si lors de la désignation le responsable de traitement a indiqué les moyens qu’il comptait mettre à disposition du DPO pour que celui-ci puisse mener à bien ses missions, on constate, surtout lors des premiers mois qui suivent la désignation, une demande de la part des DPO en temps, outils et aide (moyens humains). Il est donc légitime de mentionner dans le bilan annuel une évaluation de la charge de travail (sur l’exercice échu) et de se projeter dans l’avenir. On comprend dès lors mieux pourquoi certains DPO choisissent comme date de présentation de leur bilan la période durant laquelle leur entreprise prépare ses budgets.

Dois-je faire figurer dans mon bilan des cas de non-conformité qui ont été corrigés ?

Le bilan donne l’occasion au Délégué de valoriser sa fonction et l’impact bénéfique de ses recommandations, de montrer les progrès accomplis par le DPO dans l’exercice de ses missions, progrès qu’il pourra expliciter de vive voix lors de sa présentation au responsable de traitement. À l’exception des entités étant déjà en conformité parfaite, il serait dommage de ne pas utiliser le bilan annuel pour indiquer les progrès accomplis.

L’un des membres de l’AFCDP « instrumentalise » son projet de bilan (et non pas son bilan) dans ses relations avec les directions métier, uniquement dans les cas où ces dernières restent sourdes à ses recommandations et demandes, et uniquement après avoir épuisé toutes autres voies de persuasion et conciliation. Ce praticien communique alors un extrait du projet au directeur concerné, en lui indiquant qu’il s’agit du texte qui figurera dans le rapport annuel qui sera prochainement présenté à la direction générale. Ce projet fait clairement état des non-conformités relevées, des risques qui pèsent sur les personnes concernées et sur le responsable de traitement, des recommandations du DPO et de l’attitude de la direction métier. Un code couleur adéquat (orange ou rouge) vient renforcer le message… Dans 99 % des cas, ce membre indique que ses recommandations sont alors entendues et suivies, que les points de friction se dissolvent, et que son bilan définitif ne comporte plus que des signalétiques vertes ou jaunes (pour illustrer des points perfectibles sur lesquels un plan d’action a été formulé).

Dois-je mentionner dans mon bilan les éventuelles difficultés que j’ai vécues en tant que DPO ?

Lors des travaux de l’AFCDP, un CIL d’une entreprise de taille moyenne avait indiqué qu’il joignait en annexe les courriers internes qu’il avait transmis aux directions métier (avis, conseils, demandes d’informations, etc.), car il s’était rendu compte que son responsable de traitement n’avait pas une juste idée de la difficulté de sa tâche au quotidien, surtout quand il faut bouleverser des habitudes bien ancrées. Un autre praticien avait intégré à son bilan un chapitre dédié aux escalades de son échelle d’alerte, avec une liste des « cas en attente ». Dans tous les cas, il ne faut jamais faire état de ses éventuelles difficultés sans immédiatement proposer des voies d’amélioration et un plan d’action. Par contre, le bilan ne doit en aucun cas être utilisé par le DPO pour « régler » ses comptes avec les directions opérationnelles, et encore moins avec son responsable de traitement ! Les éventuelles frictions doivent avoir été traitées en amont, tout organisme disposant d’échelons pour résoudre les problèmes internes. Reste au DPO à trouver le ton juste, « politiquement correct » et fidèle à la réalité, le tout dans le respect de son indépendance (au titre de celle-ci, le DPO n’a pas à soumettre son projet de bilan à son responsable de traitement, de même qu’il ne doit pas le modifier sous l’injonction de ce dernier). On voit ici tout l’intérêt de s’y prendre à l’avance, et non au dernier moment, pour pouvoir établir autant de versions préparatoires que nécessaire. Le rapport devient définitif au moment de sa présentation au responsable de traitement.  

Mon bilan peut-il être illustré ?  

Le document doit être conçu pour être lu et compris par le responsable de traitement. Voici quelques recommandations concernant le fond et la forme d’un rapport destiné à être lu, à être compris et à être mis à profit par une direction, sur une thématique proche de celle de la conformité : celle de la sécurité informatique. Elles sont tirées du livre « La fonction RSSI » (édition Dunod, chapitre 18 « Tableaux de bord »), écrit par un membre de l’AFCDP, Bernard Foray : « Penser KISS (Keep it Simple & Stupid), Soigner la sémantique, Penser Comparaison (à la fois interne et externe), Penser Durée et Contexte, Penser Visuel-Vendeur-Sexy ». L’ajout d’éléments chiffrés, d’illustrations et d’indicateurs peut aider à atteindre cet objectif, notamment afin d’appuyer les demandes de moyens supplémentaires. Voici quelques sujets qui se prêtent à cette démarche : nombre de demandes de droits d’accès traitées, nombre de saisines de la CNIL traitées, activité du DPO (en temps/homme), de son équipe (dont stagiaires) et de ses Relais Informatique et Libertés (RIL), nombre de collaborateurs sensibilisés/formés. Bien sûr ces indicateurs sont aussi sources de réflexion et d’alerte pour le DPO.

Voici quelques exemples d’indicateurs pertinents : celui qui comptabilise les traitements découverts « par hasard » par le DPO au cours de l’année, un indicateur des traitements signalés spontanément au DPO, le nombre de fois où le DPO a été appelé en amont de projets, etc. Ces indicateurs peuvent provenir de votre tableau de bord global (avec, par exemple, une remontée mensuelle vers le responsable de traitement) ou de ceux adaptés aux populations cibles.

Dois-je mettre mon bilan « en perspective » ?

Dans les grandes organisations, il faut un temps certain pour réaliser un inventaire exhaustif et une mise en conformité totale. Le DPO est donc amené à phaser ses actions et à se fixer des objectifs intermédiaires. Une mise en perspective peut donc être utile dans ces cas de figure, en faisant référence aux bilans des années précédentes et en se projetant dans l’avenir (attention toutefois à ne pas trop promettre, à évoquer des projets qui ne sont pas encore figés, à fixer des objectifs qui ne peuvent être atteints). Le bilan doit être interprété de façon dynamique. À noter qu’en Italie, il est d’usage courant dans les rapports annuels similaires d’indiquer visuellement par un changement de couleur les non-conformités qui avaient déjà été signalées dans le bilan précédent et qui sont toujours présentes.

Vous pouvez aussi prendre l’initiative d’intégrer dans votre premier bilan un chapitre spécifique faisant la synthèse des actions de votre prédécesseur dont vous avez connaissance ou sur la base de la documentation que celui-ci vous a laissée.  

Cette démarche s’inscrit principalement dans la continuité de la fonction. Rédigez cette partie avec un état d’esprit égoïste : quelles informations auriez-vous aimé trouver à votre prise de fonction ? Dans le même esprit, un DPO sur le point de quitter sa fonction devrait adapter la rédaction de son dernier rapport afin d’être le plus « aidant » possible pour son successeur.

Le bilan est annuel, certes, mais quand dois-je le rédiger ?

Une majorité de CIL se mettaient sérieusement à la rédaction de leur bilan environ deux mois avant la date anniversaire… quelques fois moins, voire une fois la date passée. L’idéal est de s’inspirer des commandants des vaisseaux de jadis, qui, chaque soir à la lueur de leur lampe tempête, notaient soigneusement sur leur journal de bord les faits saillants du jour : « Passage du Cap Horn après quatre jours de gros temps », « Cérémonie du passage de la ligne », « Calme plat », etc. Cette pratique est toujours suivie de nos jours, notamment dans la marine marchande : « Le capitaine rédige son journal de mer et veille à la bonne tenue des autres journaux de bord. Le journal de mer contient, outre les indications météorologiques et nautiques d'usage, la relation de tous les événements importants concernant le navire et la navigation entreprise. Les inscriptions en sont opérées jour par jour et sans blanc. Elles sont signées chaque jour par le capitaine. » (article 6 du Décret n°69-679 du 19 juin 1969 relatif à l'armement et aux ventes maritimes), « Le capitaine est tenu à son arrivée de faire viser son journal de mer par l'autorité compétente. S'il y a eu au cours du voyage des événements extraordinaires intéressant le navire, les personnes à bord ou la cargaison, il doit en outre dans les vingt-quatre heures de son arrivée en faire un rapport circonstancié » (article 11). Si cette méthode permet de ne rien oublier et facilite la rédaction du bilan annuel, elle présente aussi l’avantage de se prêter à un relevé du temps passé sur la fonction dans le cas d’un DPO à temps partiel.

Quand dois-je présenter mon bilan à mon responsable de traitement ?

Vous avez le libre choix de « caler » votre bilan annuel sur l’année calendaire, sur la date anniversaire de votre nomination, sur l’exercice fiscal de votre entreprise ou sur la période de préparation des budgets. Cette dernière approche vous permet de présenter vos souhaits concernant les moyens nécessaires à votre mission au « bon moment » … Si personne ne peut imposer une date de publication (au titre de l’indépendance du DPO), sans doute est-ce sage de débattre de ce point sereinement avec le responsable de traitement lors de la phase préparatoire à votre désignation. Dans le cas des DPO externes, dont la grande majorité a conservé le bilan annuel, la date est calée sur le début de la prestation.

Suis-je obligé de « présenter » mon bilan à mon responsable de traitement ? Ne puis-je pas seulement lui faire parvenir ?

Le guide du CIL rédigé par la CNIL (qu’elle est en train de mettre à jour pour l’adapter au DPO) comportait une fiche dédiée au « bilan de l’action du CIL ». Elle comportait la recommandation « lorsque c’est possible, d’organiser une présentation formelle à l’occasion, par exemple, d’une réunion. Il s’agit d’un moment privilégié entre le CIL et le responsable des traitements. C’est l’occasion pour le CIL de communiquer sur ses actions et le niveau de conformité de l’organisme ». Quelques CIL avouaient cependant ne pas avoir réussi à obtenir d’audience… voire à ne pas avoir osé demander rendez-vous. Mais ceux d’entre eux qui parvenaient à présenter chaque année leur bilan à leur responsable de traitement et s’en félicitaient : « Certes, le rendez-vous a été reporté trois fois, mais la réunion a été allongée dès que le responsable des traitements est « entré » dans le sujet et a pris conscience des enjeux », « Notre PDG s’est montré à chaque fois attentif, intéressé. Il tenait même à faire avancer les choses et a suggéré des actions », « C’est à l’occasion de la présentation de mon bilan en tête à tête avec le Directeur général que j’ai décroché l’accord pour un poste d’adjoint à plein temps ».  

On voit que la présentation du bilan annuel au responsable de traitement est une occasion privilégiée pour le DPO d’exprimer certaines demandes concernant, par exemple, un renforcement des moyens mis à sa disposition, ou pour s’assurer de son soutien et de la bonne prise en compte des objectifs poursuivis. Un membre de l’AFCDP a indiqué avoir suggéré la présentation de son bilan au comité exécutif (Comex), considérant cela plus productif qu’au seul PDG. Un autre indique que son responsable de traitement fait une synthèse de son bilan au conseil d’administration.

Mon responsable de traitement vient de changer : dois-je lui présenter le dernier bilan ?

C’est une démarche recommandée, ne serait-ce que pour mesurer son intérêt pour la thématique. Y est-il sensible ? C’est l’occasion de vous assurer de sa bonne compréhension de votre mission, des objectifs poursuivis et de son nécessaire soutien. Le document peut être doublé d’un historique synthétique et d’une proposition de mise à disposition des anciens bilans.

Outre le responsable de traitement, à qui envoyer le bilan en interne ?

De votre initiative, à personne. Le bilan est destiné à être présenté à votre responsable de traitement. Même dans le cas où votre mission de DPO est secondaire par rapport à une mission principale, vous n’avez pas à transmettre – et encore moins soumettre – votre bilan ou votre projet de bilan à une quelconque hiérarchie. Toute transmission du bilan à un tiers doit se faire avec l’accord préalable du responsable des traitements. Si vous obtenez son accord, vous pouvez être amené à présenter tout ou partie du bilan de vos actions en interne, soit à l’ensemble du personnel, soit à des directions en particulier. À l’époque du CIL, pour la CNIL, « C’est d’ailleurs une très bonne initiative puisque cela permettra de rendre visibles son activité et son rôle au sein de l’organisme. Cela peut également être un moyen pour mettre en avant ses collaborateurs directs et différents relais en interne au sein des directions et services ». L’un des membres de l’AFCDP a obtenu qu’une synthèse de son bilan soit intégrée dans le bilan global « Responsabilité sociale » de son entreprise, un autre dans le rapport annuel du contrôle interne.

Mon bilan doit-il être transmis aux instances représentatives du personnel qui en font la demande ?

Dans l’hypothèse où les IRP (Instances Représentatives du Personnel) demandent expressément au DPO de leur communiquer son ou ses bilans, il est sain que le délégué obtienne l’accord préalable de son responsable des traitements. Cette question montre l’importance qu’il y a à anticiper un tel cas de figure et à en discuter avec le responsable de traitement préalablement à votre désignation en tant que DPO : faut-il prévoir une présentation synthétique pour les représentants du personnel, lors d’une réunion du comité d’entreprise ? Faudra-t-il publier des extraits sur l’intranet de l’organisme ou les communiquer aux différentes directions opérationnelles concernées ? Lors des réunions de travail AFCDP, il est apparu que certaines demandes de communication du bilan par les IRP sont directement adressées au responsable de traitement et que d’autres le sont par l’intermédiaire habituel qu’est la direction des ressources humaines.  

Dois-je envoyer mon bilan à la CNIL ?

Il n’existe aucune obligation légale en la matière. En 2006 et 2007, la CNIL avait reçu quelques rapports, bien qu’elle n’ait jamais émis de signaux montrant qu’elle le désirait. Par contre, lors d’une mission de contrôle sur place diligentée auprès d’un organisme ayant désigné un DPO, il est possible que les agents demandent communication du dernier bilan, voire des éditions précédentes.

Je suis désigné par un même responsable de traitement pour plusieurs organismes, je suis DPO mutualisé : dois-je faire un bilan unique ou un bilan par organisme ?

Par le passé (en période pré-RGPD), lorsqu’un CIL était désigné par plusieurs entités, il devait rédiger un bilan d’activité par organisme. La même règle peut être conservée, car le bilan est destiné à chaque responsable de traitement. Naturellement, si les entités sont similaires, avec des traitements identiques, vos bilans présenteront de fortes similitudes.

Puis-je me faire aider pour rédiger mon bilan ?

Si vous disposez d’un réseau de RIL (Relais Informatique et Libertés), vous pouvez envisager de les inciter à « nourrir » votre bilan du DPO, au fil de l’eau et non à l’approche de la fin de l’exercice. La moindre des choses est d’organiser pour eux une présentation dédiée. N’hésitez pas non plus à vous appuyer sur votre RSSI et/ou votre Risk Manager, notamment concernant les chapitres traitants des violations de données et des analyses d’impact.

Devons-nous conserver les bilans et si oui, combien de temps ?

Il est logique que les bilans soient archivés, a minima pendant le mandat du DPO et plutôt pour toute la durée de la fonction en cas de changements de délégué dans l’organisme. S’agissant d’un document professionnel appartenant à l’entreprise, on peut aussi imaginer qu’il soit conservé durant toute la vie de celle-ci.  

Et chez nos voisins ?

Avant l’entrée en application du RGPD, en Suisse comme en France et au Luxembourg, les Datenschutzberater devaient régulièrement faire un rapport de leurs activités au responsable de traitement. Aux Pays-Bas, les Functionaris Gegevensbescherming, considérant que la rédaction d’un rapport annuel ne constituait qu’une « charge administrative », avaient obtenu que cette obligation soit supprimée de la loi issue de la transposition de la directive 95/48CE, mais de nombreux professionnels continuaient de produire ce document en tant que bonne pratique. Les Personuppgiftsombudet suédois n’avaient pas non plus d’obligation d’établir un rapport annuel adressé à la direction de l’entreprise, mais cela était recommandé.

C’était également le cas pour les Beauftragter für Datenschutz allemands. Selon l’étude Data Protection Practice in Business menée en 2012 auprès de 2.571 délégués de la protection des données allemands, la moitié d’entre eux (51 %) indiquait que leur direction « réclame du reporting de leur part ». Les auteurs de l'étude ajoutent en commentaire « Il a été prouvé que le rapport est un outil très efficace pour gérer la mise et le maintien en conformité ».

Et, de fait, nombreux sont les délégués à la protection d’outre-Rhin qui établissent spontanément un rapport annuel pour leur direction, alors que cela n’est pas une obligation. Comme en France, ce document est le reflet de leur activité et peut être mis à disposition de l’autorité de contrôle en cas d’investigations de cette dernière. L’association GDD (Gesellschaft für Datenschutz und Datensicherheit), qui regroupe une grande partie des DPO allemands, propose la structure suivante : description des nouveaux traitements mis en œuvre, observations du délégué concernant les traitements et les procédures, opinion du délégué concernant tout sujet relatif à la protection des données personnelles, synthèse du traitement des demandes de droits d’accès et de droit d’opposition, synthèse des plaintes émises par les personnes concernées, description des actions de sensibilisation et de formation menées, actions envisagées pour l’exercice suivant. Le document peut comprendre, en sus, des chapitres sur les audits organisationnels du responsable de traitement ou les violations aux traitements de données personnelles.

Finalement, à qui et à quoi sert ce bilan annuel ?

Nous avons vu que le rapport est destiné au responsable de traitement (et, éventuellement, à la CNIL). Il sert au premier à être informé des actions de la personne qui réduit son exposition aux risques juridiques relatifs au RGPD et à la loi Informatique et Libertés, il sert éventuellement à la Commission pour avoir une vision « terrain ». Il faut savoir qu’à l’origine, le rapport annuel du CIL a probablement été institué pour donner en 2004 des gages aux parlementaires, dont certains se montraient réservés quant à la formule du délégué à la protection des données : « Le système des correspondants à la protection des données offre-t-il des garanties d'indépendance suffisantes ? », « Nous restons très réservés sur ce système des correspondants, même si le rapporteur assure que l'exercice de leur mission se fera en toute indépendance » déclarait à l’époque le député Frédéric Dutoit, tandis que le sénateur Robert Bret craignait que, « au mieux, il [le CIL] exercera un travail de vérification routinière largement superficielle, au pire, il laissera passer des fichiers un peu problématiques par crainte de voir surgir des difficultés dans l'entreprise ».

Concernant le responsable de traitement, le rapport peut viser des objectifs complémentaires. Il constitue tout d’abord un élément de réassurance (« Vous avez bien fait de me désigner comme DPO ! »). Il est aussi, pour le responsable de traitement, un gisement d’éléments de langage concernant la conformité au RGPD et à la Loi Informatique et Libertés. Le bilan, ou des extraits de celui-ci, communiqué avec l’autorisation du responsable de traitement, peut également être utile pour les directions métier, les responsables opérationnels, le DSI, le DRH, le RSSI, etc. qui y trouveront une mise en perspective de votre action, une description de votre doctrine, une affirmation de vos ambitions. Nous avons vu que la phase de préparation du bilan pouvait être mise à profit pour solder quelques incompréhensions, pour lever quelques freins, voire des blocages. Nous avons également vu que le bilan pouvait participer d’un climat social apaisé, quand certains de ses extraits sont présentés aux IRP, toujours avec l’autorisation du responsable de traitement.

Pour l’entreprise, le rapport est un élément de mémoire de la fonction. Sans bilan, il est difficile de conserver une traçabilité des actions du DPO au fil des années, ou de comprendre ce qui fondait certaines décisions passées. Par ailleurs, ce fonds documentaire sera utile pour vos successeurs.

Le rapport annuel peut également être comptabilisé comme un élément tangible d’accountability. À ce sujet, les lignes directrices concernant les délégués à la protection des données du G29 (WP 243), révisées et adoptées le 5 avril 2017 (c’est-à-dire avant l’entrée en application du RGPD), indiquent que « L’élaboration d'un rapport annuel sur les activités du DPD destiné au niveau le plus élevé de la direction constitue un autre exemple de reddition de compte directe. ».

Mais, au final, c’est pour le DPO lui-même que ce rapport est un levier précieux. Utilisé comme un outil de conduite de changement, il s’avère utile 365 jours par an. Sa rédaction est aussi l’occasion d’un exercice d’autocritique : quelle a été la portée de mes actions ? Ai-je fait preuve de vigilance, de diligence ? Ai-je réussi à atteindre les objectifs que je m’étais fixés l’an dernier, et que j’avais annoncés à mon responsable de traitement ? Les moyens dont je dispose sont-ils adaptés ? La formulation du chapitre « plan d’action » oblige à cesser d’être accaparé par le quotidien et d’envisager l’action du DPO sous un angle stratégique.

Le bilan annuel, une bonne pratique que devraient adopter les DPO internes

De 2005 à 2018, année après année, les Correspondants Informatique et Libertés ont modifié la perception qu’ils avaient du rapport annuel, qu’ils ont fini par considérer comme l’un de leurs outils indispensables. Depuis mai 2018, l’obligation d’établir un bilan ne figurant pas dans le RGPD, rares sont les DPO internes (qui n’avaient pas été CIL au préalable) qui ont pris l’initiative d’en établir un (comme le font la quasi-totalité des DPO externes). Les professionnels concernés n’ont plus maintenant qu’à prendre leur destinée en mains et l’imposer comme une bonne pratique.