Javascript is required
logo-dastralogo-dastra

Comment faire un bilan annuel de DPO ?

Comment faire un bilan annuel de DPO ?
Marine Boquien
Marine Boquien
28 janvier 2024·12 minutes de lecture

Le rôle du DPD / DPO ou Délégué à la Protection des Données est crucial dans la conformité des entreprises à la réglementation sur la protection des données personnelles, telles que le Règlement Général sur la Protection des Données (RGPD) en Europe.

Pour garantir une gestion efficace des données personnelles, il est essentiel que le DPD effectue un bilan annuel de ses activités.

La conception du rapport annuel du DPO

conception rapport annuel dpo

La rédaction du rapport annuel du DPD demande une attention minutieuse pour refléter fidèlement les activités passées et définir clairement les objectifs futurs de conformité du DPD.

Nous vous présentons dans cet article les réponses à vos questionnements et les étapes clés pour mener à bien votre bilan RGPD et maintenir une conformité continue !

Qu'est-ce que le rapport annuel du DPD ?

Le rapport annuel du DPD (Délégué à la Protection des Données) est un document permettant au DPD de rendre compte de son travail et de ses missions au sein de l'organisation qui l'a désigné comme tel.

Le bilan annuel du DPD présente également les actions menées par le DPD et ses équipes au sein de l'entreprise sur une année (évaluation des risques, gestion des incidents de sécurité et notification à la CNIL, formation du personnel, suivi et réponses aux demandes de droits des personnes concernées, audits internes, conseil et recommandations d'amélioration sur tous les projets impliquant des traitements de données personnelles).

Le rapport annuel du DPO vise enfin à améliorer la transparence de l'organisation en matière de protection des données et à communiquer au public sur son engagement de respect des règles.

A qui le présenter ?

Le bilan annuel du DPD peut-être présenté aux personnes dirigeantes et aux responsables des différents services de l'organisation parmi lesquelles :

  • Directeur général (CEO)
  • Directeur général adjoint
  • Direction technique (CTO)
  • RSSI ou DSSI
  • Directeur commercial
  • DRH
  • PDG

Le rapport annuel du DPD pourra être présenté sur demande de la CNIL en cas de contrôle de cette dernière.

Pour quelle occasion ?

Vous pouvez présenter ce bilan lors de :

  • Comité exécutif
  • Comité de direction
  • Comité de pilotage
  • Comité directionnel
  • Assemblée générale

Quand constituer son bilan annuel ?

Nous recommandons d'effectuer votre bilan annuel à la fin de l'année en cours ou au début de la suivante. Vous pouvez également choisir de le faire en conjonction avec la clôture de l'exercice financier de l'organisation, ou à l'occasion de l'anniversaire de votre prise de fonction ou de votre désignation auprès de la CNIL.

Il est conseillé, dans la mesure du possible, de collecter progressivement au cours de l'année les éléments nécessaires à l'élaboration du bilan, et de commencer la rédaction de ce document bien en amont de la date de remise prévue aux interlocuteurs privilégiés au sein de l'organisation.

Combien de pages réaliser ?

On évite les rapports de 100 pages ! Le nombre de pages va dépendre de votre organisation. L'objectif est de centraliser les informations essentielles et les faits marquants de l'année passée.

Comment réaliser le rapport annuel du DPO ?

les étapes de création du bilan dpo

Pour réaliser un bon rapport détaillé, nous vous conseillons d'anticiper et de récolter toutes les informations importantes que vous devez et souhaitez incorporer dans votre rapport :

  • Les éléments statistiques : le nombre de traitement de données personnelles, le nombre d'AIPD réalisées sur l'année, le nombre de demandes de droits reçues et traitées (et les points de blocages) ...
  • Les documents pratiques mis en place au sein de l'organisation : politiques de confidentialité, référentiels internes, chartes informatiques, mentions RGPD dans les contrats, annexe ou contrat de sous-traitance ...
  • Les témoignages : interroger vos directions et les opérationnels sur leur vision métier de la protection des données personnelles et du RGPD.
  • Trier et incorporer les éléments que vous souhaitez au sein de votre rapport.

Le rapport annuel a aussi pour rôle de vous valoriser, valoriser votre position et votre métier en communiquant auprès de vos directions métiers et de votre hiérarchie.

Nous vous encourageons à choisir un axe de présentation en fonction de votre organisation. Vous pouvez choisir de rédiger un bilan annuel RGPD :

  • par chronologie
  • par thématiques
  • par priorisation et appréciation des risques
  • par directions métiers

1. La contextualisation

Le premier aspect à considérer dans le bilan annuel du DPO est la contextualisation. Quel est le domaine d'activité dans lequel vous opérez ? Avez-vous désigné un DPO ? Si tel est le cas, était-ce une obligation ? S'agit-il d'un remplacement ? Est-ce que l'initiation des activités liées à la protection des données est récente ? Nous vous recommandons de rédiger une page dédiée à la contextualisation et à la présentation de l'organisation et de ses activités, en tenant compte des particularités de cette dernière..

2. Les interactions du DPO

Il est également crucial de rappeler les divers échanges que vous avez eus au cours de l'année :

  • Les interactions internes au sein de votre organisation, telles que celles avec les opérationnels de l'organisation, responsable de traitement.
  • Les interactions externes, notamment avec la CNIL, les externes à l'organisation ou encore avec les autres DPO.

N'hésitez pas à fournir des détails et à quantifier ces informations (fréquence de communication, outils utilisés, éléments de communication, etc.).

Exposez la manière dont vous avez renforcé la dynamique de votre réseau ! Relater ces informations vous permettra de renforcer votre crédibilité en tant que DPO.

3. Le registre des traitements

Il est impératif d'inclure dans ce rapport le registre des traitements. N'omettez pas de chiffrer le nombre de traitements effectués au cours de l'année, ainsi que le nombre d'échanges ou d'ateliers nécessaires à l'établissement de ce registre. Combien de traitements ont été sujets à des modifications et/ou à des suppressions, par exemple ?

Nous vous encourageons également à mettre en avant les priorisations des actions et les niveaux de criticité pour les traitements jugés sensibles.

4. Le plan d'actions

La section du rapport consacrée au plan d'actions est une étape exigeante pour un DPO, mais extrêmement cruciale. Pour simplifier cette démarche, nous vous suggérons de structurer le plan d'actions par thématiques. Associez un calendrier de réalisations à votre plan d'action, intégrant des objectifs à tenir, la durée et désigner des personnes chargées de mener à bien ce plan d'actions, etc. Cela vous permettra d'en tirer les conclusions de l'année et de définir vos objectifs pour l'année suivante.

Ce plan d'action vous offre la possibilité d'identifier le respect ou non de vos objectifs en tant que DPO, mais surtout, il vous permet d'analyser les raisons pour lesquelles vous pourriez ne pas les avoir atteints.

5. AIPD / PIA

Dans cette partie du rapport, vous pouvez chiffrer le nombre d'AIPD que vous avez réalisées et expliquer comment vous les avez priorisées. Comment avez-vous trouvé des solutions et avec qui avez-vous interagi lors de la mise en œuvre de ces AIPD ? Combien de temps y avez-vous consacré ? Combien d'ateliers avez-vous organisé ? Il est crucial de quantifier tous ces éléments pour démontrer votre engagement et le temps investi.

Pour garantir que votre rapport soit exhaustif et détaillé, vous pouvez effectuer une analyse approfondie de chaque AIPD.

Avec Dastra, réalisez vos analyses d'impacts sur la protection des données !

6. La formation et la sensibilisation du personnel

Un aspect clé du bilan annuel du DPO est la formation ainsi que la sensibilisation mises en place auprès des équipes.

Le DPO doit s'assurer que tous les employés comprennent l'importance de la protection des données et qu'ils sont informés des bonnes pratiques en matière de traitement des informations personnelles.

Comment vos collaborateurs ont-ils été formés ? Quelles sont les modalités de formation pour les nouveaux arrivants ? Avez-vous recours à un prestataire externe ? Quels sont les impacts et les évolutions constatés à la suite de ces initiatives de formation et de sensibilisation ?

7. Les personnes concernées

Lors de ce bilan annuel, il est crucial de mentionner les parties impliquées dans les activités de traitement au sein de votre organisation. Combien de demandes d'exercice de droits avez-vous reçu ? Nous vous encourageons à dresser un état des demandes, en précisant si vous recevez davantage de demandes de droit d'accès, de droit de suppression, etc.

Il est également primordial de souligner l'aspect informationnel. Comment les informations sont-elles communiquées aux personnes concernées ? Les individus sont-ils adéquatement informés ? Nous vous invitons à aborder ces aspects dans votre bilan.

8. La sécurité et les violations de données

La section consacrée à la sécurité et aux incidents de violation de données revêt également une importance capitale. Au sein de cette partie, nous vous encourageons à mettre en lumière tous les aspects liés aux transferts de données, tels que l'identification des traitements, des transferts, ainsi que les outils juridiques pour sécuriser ces transferts.

De même, il est essentiel d'inclure une section dédiée à la sécurité des données, évaluant l'état de la sécurité de l'organisation.

Nous vous invitons à élaborer une première partie traitant de la logistique et une seconde partie se penchant sur la sécurité humaine, mettant en avant les formations, les mesures d'anticipation mises en place et les mesures correctives adoptées par l'organisation.

Enfin, nous vous encourageons à aborder les campagnes de tests que vous avez menées, notamment les faux e-mails, le phishing, etc. N'hésitez pas à solliciter la participation de votre RSSI ou DSI pour recueillir leur retour d'expérience.

Pilotez votre registre des violations de données et améliorez votre sécurité avec Dastra !

9. Privacy by Design

Dans cette section, nous vous encourageons à partager des informations sur le privacy by design. Le détail et les éléments de cette partie peuvent varier en fonction des spécificités de votre organisation. Quelle méthodologie avez-vous adoptée ? Utilisez-vous des modèles spécifiques ? Comment gérez-vous vos projets, et combien de sollicitations avez-vous reçu pour des projets ?

Mettez en avant les éléments qui contribuent à un retour d'expérience positif sur votre gestion et coordination. En tant que DPO, votre capacité à prendre du recul et à guider est cruciale. N'hésitez pas à souligner vos propres initiatives, les projets que vous avez initiés, et à partager des témoignages. C'est l'occasion idéale pour illustrer votre impact et votre contribution au sein de l'organisation et sur son fonctionnement.

10. Sous-traitance

Dans cette section, nous vous invitons à détailler les éléments suivants :

  • les difficultés rencontrées avec vos sous-traitants
  • Le nombre de sous-traitants
  • L'état actuel de la contractualisation
  • La présence de problèmes de sécurité s'il y en a eu
  • Le process pour choisir les nouveaux sous-traitants (cahier des charges, etc.)
  • etc.

11. Contractualisation

Dans cette section, nous vous suggérons de mettre en lumière le type de documentation que vous avez instauré. Vous avez la possibilité d'organiser cette partie par direction ou par thématique. Une classification peut être opérée, distinguant les documents créés, refondus et négociés. Il est également essentiel de fournir des informations sur les documents que vous mettez à disposition et sur la bibliothèque dont vous disposez.

12. Site internet et application

Dans cette section, vous pouvez documenter tous les aspects relatifs aux cookies RGPD. Avez-vous identifié des sources de collecte d'informations ? Vos pages de CGU et de gestion des cookies sont-elles à jour et conformes ?

N'hésitez pas à inclure les interactions que vous avez eues avec les équipes web pour démontrer la conformité de votre site internet et de la gestion de vos cookies.

Conclusion

En conclusion, la réalisation d'un bilan annuel en tant que DPO est un processus fondamental pour assurer et prouver la conformité continue et renforcer la protection des données au sein de l'organisation.

En suivant ces étapes clés, vous pouvez identifier les domaines à améliorer, mettre en place des actions correctives et contribuer à instaurer une culture de protection des données au sein de l'organisation.

Un rapport annuel efficace garantit non seulement la conformité juridique, mais renforce également la confiance des parties prenantes pour une gestion optimale et responsable des données personnelles.

Vous souhaitez en savoir plus ? ➡️ Inscrivez-vous à notre Webinaire : bilan annuel DPO, les essentiels, le 14 février !

A propos de l'auteur
Marine Boquien
Marine Boquien
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.