- Le blog et les actualités de Witik
- Documents RGPD : Votre guide pour les contrôles CNIL
- 1 - Quels sont les documents susceptibles d'être demandés par la Cnil ?
- 2 - Le registre des traitements
- 3 - Les analyses d'impact (AIPD)
- 4 - Les mentions d’information
- 5 - Le modèle de recueil du consentement
- 6 - La preuve du consentement
- 7 - Les contrats avec les sous-traitants
- 8 - Les procédures internes
- 9 - Le registre des violations de données
- 10 - Cas particulier : l’encadrement du transfert des données
Guide des documents RGPD pour réussir les contrôles de la CNIL
Un certain nombre de documents sont susceptibles d'être demandés par la CNIL lors d'un contrôle. Ils ont pour vocation de prouver que vous respectez bien la règlementation et que vous avez donc mis en place les moyens nécessaires pour votre conformité RGPD. C'est ce qui découle du principe de responsabilité ou accountability, selon lequel c'est que c'est à vous, entreprise, de prendre les bonnes décisions pour protéger les données personnelles que vous traitez et de le démontrer.
Ce principe explique que les contrôles de la CNIL reposent notamment sur l'analyse de documents spécifiques, qui doivent pouvoir être fournis sur demande.
En tant que DPO ou responsable de la conformité de l'entreprise pour laquelle vous travaillez, vous devez vous assurer de tenir à jour une documentation juridique composée de plusieurs pièces de dossier que l'on va décortiquer dans cet article. Vous serez ainsi prêt(e) pour prouver le cas échéant à l'autorité de contrôle que vous respectez à la lettre les exigences du RGPD !
Remarque : lors d'un contrôle, limitez-vous à la fourniture des documents répondant à la demande de la CNIL, sans aller au-delà. Exemple : lorsque la CNIL vous demande de fournir un extrait de votre registre concernant un traitement en particulier, fournissez-lui uniquement ledit extrait, contenant les seules mentions requises par l'article 30 du RGPD. Vous n'avez pas à lui fournir l'intégralité de votre registre dans ce cas.
A noter que l’ordre des documents présentés dans la suite de cet article n’est pas hiérarchique ; toutes les pièces justificatives à rédiger sont importantes !
Quels sont les documents susceptibles d'être demandés par la Cnil ?
On parle là des documents demandés lors d'un contrôle, donc pas des documents qu'il faut présenter systématiquement (il y a certains documents qui doivent être soumis à la CNIL hors contrôle, type les AIPD dans certains cas). Je privilégierai donc un titre tel que :
Le registre des traitements
Le premier document RGPD que nous allons étudier est le registre des traitements. Ce registre a pour fonction de présenter l’ensemble des traitements de données effectués par votre entreprise et doit comprendre un certain nombre d’informations.
Sans entrer dans les détails, rappelons que parmi ces mentions obligatoires, on trouve notamment le nom du responsable de traitement, les catégories de données traitées, la finalité des traitements, la durée de conservation des données et le fondement du traitement (consentement de la personne concernée, par exemple).
L’identité des sous-traitants doit également être précisée s’il y a lieu : on reviendra plus loin sur les pièces liées à vos relations avec vos sous-traitants.
Les analyses d'impact (AIPD)
Comme vous le savez, vous devez dans certains cas réaliser une analyse d'impact ou AIPD en amont d’une opération de traitement. Cette étude a pour fonction d’évaluer les risques qui pourraient peser sur la vie privée des personnes concernées et de définir et présenter les mesures de protection mises en place.
Les AIPD réalisées pour les traitements qui en nécessitent la rédaction doivent être présentées à la CNIL sur demande.
C’est même une des pièces maîtresses de votre documentation RGPD puisqu’elle permet de prouver que vous avez bien pris en compte les risques potentiels liés à votre activité et que vous avez adopté les mesures adaptées.
Pour rappel, celles-ci ne sont généralement pas définies par les textes mais doivent être justifiées en fonction de votre cas particulier.
Les mentions d’information
Un des principes fondamentaux du RGPD est la transparence. Celle-ci passe par l’information claire et simple des personnes, à réaliser notamment (mais pas seulement) au moment de la collecte de données personnelles.
Cette information comprend les mentions légales, la politique de confidentialité de votre entreprise, mais aussi les divers espaces dans lesquels vous transmettez de l’information à vos utilisateurs sur leurs données, les personnes qui les traitent et les finalités de ce traitement.
L'ensemble de ces pièces d'information est susceptible d'être demandé par la Cnil en cas de contrôle, et doit donc figurer dans votre dossier de documentation RGPD.
Le modèle de recueil du consentement
Il s’agit ici de démontrer que, lorsque vous demandez le consentement de vos utilisateurs pour traiter leurs données, vous collectez un consentement conforme au RGPD.
Vous pouvez à cette étape produire un document présentant les informations que vous donnez à vos utilisateurs au moment du recueil du consentement : bandeau de cookies, formulaire d’inscription à une newsletter, récupération d’adresses emails à certains points clés du parcours client.
Ce document n’a pas vocation à prouver que le consentement a été recueilli (ce sera le cas avec la prochaine pièce de votre dossier) mais bien à montrer que vous obtenez ce consentement de la bonne manière. Autrement dit, que vous respectez les principes d’un consentement libre, éclairé, spécifique et univoque.
La preuve du consentement
Cette fois, c’est bien la preuve du consentement donné par vos utilisateurs et clients qu’il faut présenter. Cette preuve est souvent stockée sous forme de token électronique qui a notamment pour fonction de dater le moment où le consentement a été donné : rappelons que celui-ci a une durée de validité limitée en fonction des cas.
L’utilisation d’une Consent Management Platform comme Witik permet notamment de stocker automatiquement cette preuve de consentement pour chaque utilisateur, ce qui automatise la construction de ce document RGPD.
Les contrats avec les sous-traitants
Lorsque vous déléguez une partie de vos traitements de données à des sous-traitants au sens du RGPD (qui peuvent être des prestataires, agences, éditeurs de logiciels…), les contrats qui vous lient sont réglementés.
Plus précisément, ils doivent faire apparaître un certain nombre de clauses spécifiques énumérées par le RGPD et les autorités de contrôle comme la CNIL. Par exemple, ces contrats doivent établir un partage clair des responsabilités de chacun concernant les données qui sont partagées.
Puisque ces contrats sont réglementés, ils sont susceptibles d’être vérifiés par la CNIL. Il convient donc de les inclure dans votre documentation juridique.
A noter que dans certains cas vous pouvez également être amené à produire les contrats avec les responsables conjoints de traitement (ou co-responsables).
Les procédures internes
Afin de faciliter la gestion quotidienne des obligations RGPD, vous devez formaliser des procédures internes, telles que la procédure de gestion des incidents, ou la procédure de gestion des exercices des droits.
La procédure gestion des incidents a pour vocation de vous permettre de répondre rapidement en cas d'incident affectant des données personnelles, tel qu'une fuite de données, un vol de données, ou une faille de sécurité. Vous devez être en mesure de justifier que les mesures que vous préconisez sont suffisantes à la fois en termes de réponse et de rapidité. Pour cela, vous devez construire une procédure adaptée à votre situation, et notamment à votre architecture SI.
La procédure de gestion des exercices des droits permet de la même façon de faciliter l'exercice des droits des personnes. Pour rappel, ces droits recouvrent notamment le droit d'accès, le droit d'opposition, le droit à l'oubli, ou le droit à la portabilité des données. Le RGPD vous impose de faciliter l'exercice de ces droits et donc de prévoir une procédure adaptée pour les rendre accessibles, par exemple via une plateforme dédiée et intégrée à votre site web comme le permet Witik.
D'autres procédures peuvent être sollicitées : politique d'audit de conformité, politique de protection des données par défaut, programme de formation, politique de sécurité.
Le registre des violations de données
Le registre des violations va de pair avec la procédure de gestion des incidents. Ce registre permet de consigner la gestion des incidents détectés au sein de votre entreprise, et notamment pour chaque incident l'analyse que vous avez fait de la situation, et les mesures que vous avez prises pour remédier à une violation de données le cas échéant.
La CNIL peut vous demander de fournir un extrait de ce registre, pour démontrer votre analyse et gestion d'un incident, ainsi que la bonne réalisation ou non des formalités obligatoires selon la gravité de la violation. Ces formalités peuvent être, selon le niveau de risque pour les personnes, de notifier la violation dans un délai de 72h à la CNIL, voire également d'informer les personnes concernées par la violation.
Cas particulier : l’encadrement du transfert des données
Si vous effectuez des transferts de données vers pays hors UE, vous pouvez être amené à présenter des documents supplémentaires.
Le transfert de données hors UE est strictement encadré et doit faire l’objet d’une justification spécifique : utilisation de clauses contractuelles types, garanties données par le partenaire ou par l’Etat tiers et validées par les institutions européennes, etc.
Vous donc devez impérativement identifier les transferts de données que vous réalisez, les pays vers lesquels ceux-ci sont réalisés, et documenter les garanties adaptées que vous mettez en place ou existantes pour encadrer ces transferts.
Si vous souhiatez en savoir plus sur les transferts de données, consultez notre livre blanc sur le sujet.
Vous l’avez compris, la documentation RGPD contient de nombreuses pièces, plus ou moins complexes à rédiger et à rassembler. La constitution de cette documentation est donc souvent importante et difficile.
L'enjeu est également significatif puisque c’est notamment sur examen de ces pièces que la CNIL pourra décider de vous infliger une sanction.
Attention : la CNIL peut également vous sanctionner si la documentation que vous fournissez est obsolète ou non appliquée. Il est donc impératif de préparer cette documentation en amont, et de la tenir à jour, en s'assurant qu'elle est conforme à ce qui est effectivement pratiqué au sein de votre entreprise.
En d’autres termes, il est conseillé d’être accompagné sur ce projet de documentation RGPD ! Witik et ses consultants interviennent auprès d’entreprises de toutes tailles sur ces sujets. Prenons contact et voyons comment nous pouvons pérenniser votre mise en conformité.