Mise en œuvre du RGPD : comment documenter sa conformité

Se sentir concerné et mobiliser ses services avant le 25 mai 2018

Le règlement européen du 27 avril 2016 (règlement général sur la protection des données, RGPD) oblige chaque responsable de traitement de données à caractère personnel à constituer, regrouper et actualiser régulièrement un certain nombre de documents. Cette première étape est souvent décrite, quoi que l’on pense de la qualité de l’expression, comme l’obligation de « documenter ». Une fois la base d’information réunie, ses éléments doivent pouvoir être fournis sur simple demande de l’autorité de contrôle (en France, la Commission nationale informatique et libertés, la Cnil).

Toutes les collectivités publiques, quelle que soit leur taille, sont soumises à cet impératif qui prendra effet dès le 25 mai de cette année ; et aucune ne peut s’en considérer exonérée au motif qu’elle ne disposerait d’aucun matériel informatique : dès lors qu’elle dispose de la liste de ses électeurs sur support papier, ou encore d’un fichier sur ses agents, une collectivité réalise des traitements de données à caractère personnel. Il importe d’engager au plus tôt, si cela n’est pas déjà fait, l’élaboration de la documentation requise par le RGPD.

Il serait, en particulier, imprudent d’attendre l’adoption du projet de loi relatif à la protection des données personnelles ⁽¹⁾. En effet, ce dernier ne fera que préciser ou compléter certaines des prescriptions du RGPD ; les collectivités qui se seront déjà mises en conformité avec le RGPD n’auront à procéder qu’à quelques aménagements mineurs au moment de son adoption – à une date qui reste inconnue.

Déterminer les éléments constituant le dossier de conformité

Cette première tâche est compliquée par le fait qu’il n’existe pas de « dossier standard » : le RGPD ne comprend pas de liste exhaustive définissant simplement sa composition. Le registre des traitements ⁽²⁾, document cartographiant précisément les traitements de données mis en œuvre, en constituera cependant la pièce maîtresse. Il est impératif d’établir ce document en priorité, afin de pouvoir, dans un second temps, identifier et concevoir, selon les caractéristiques des traitements recensés, les autres documents indispensables. C’est pourquoi, on s’attachera ici à donner des conseils pratiques concernant l’établissement de ce document en particulier.

On retiendra pour l’essentiel que devront dans tous les cas faire partie du dossier documentaire, outre le registre des traitements : la description des procédures et moyens adaptés pour la sécurité des traitements ⁽³⁾, les procédures internes en cas de violation de données ⁽⁴⁾, les informations sur le délégué à la protection des données ⁽⁵⁾ (description des missions, moyens, etc.), les mentions d’information à la personne concernée, les modèles de recueil du consentement et les procédures mises en place pour l’exercice des droits ⁽⁶⁾. Selon les cas seront en outre requises les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d’engendrer des risques élevés envers les droits et libertés ⁽⁷⁾ (par exemple : les activités de vidéosurveillance) et/ou les éventuels contrats avec les sous-traitants) ⁽⁸⁾.

Le RGPD prévoit également, à titre facultatif, la possibilité pour les responsables de traitement de se voir délivrer une certification, attestant de leur conformité à la réglementation ; il faudra cependant attendre l’adoption du projet de loi relatif à la protection des données personnelles et ses textes d’application pour connaître les modalités de ce dispositif.

Etablir ou faire établir le registre des traitements propre à sa collectivité

Même lorsqu’elle confie la gestion de ses traitements de données à un tiers (par exemple : centre de gestion de la fonction publique territoriale pour la gestion de certains agents, sociétés de stockage de données, etc.), une collectivité doit disposer d’un registre listant les traitements qui ont lieu sous sa responsabilité ⁽⁹⁾.

Parallèlement, son éventuel sous-traitant devra tenir son propre registre des activités de traitement réalisées pour le compte du responsable du traitement. Le registre doit donc être établi individuellement pour chaque collectivité et ne pourra pas être mutualisé comme l’est, par exemple, la fonction de délégué à la protection des données (DPD). Il est en revanche concevable de confier la gestion de la documentation à un DPD mutualisé. Ce dernier devra alors tenir un registre pour chaque responsable de traitement par lequel il a été désigné.

Concrètement, il est recommandé d’associer à l’établissement du registre l’ensemble des agents