Le rapport d’activité du DPO : piloter la conformité et valoriser ses actions

Recommandé par la CNIL, le rapport d’activité du délégué / de la déléguée à la protection des données participe au pilotage de la conformité et permet au DPO de rendre compte de son activité à la direction. Pour favoriser et faciliter son élaboration, la CNIL propose un modèle.

Une bonne pratique recommandée

En tant que DPO, vous n’êtes pas dans l’obligation de rédiger un rapport d’activité. Pour autant, il s’agit d’une bonne pratique, recommandée par la CNIL, qui s’inscrit naturellement dans le champ de vos missions.

Le rapport d’activité présente plusieurs intérêts :

il participe directement au pilotage de la conformité et permet de rendre compte au plus haut niveau de la direction de l’organisme ;
il permet d’évaluer et de suivre dans le temps le niveau de maturité de l’organisme en matière de protection des données ;
il peut être décliné pour communiquer, en interne comme en externe, sur la conformité.

Un outil essentiel au pilotage de la conformité

Qu’il soit trimestriel, semestriel ou annuel (selon les activités de l’organisme), le rapport d’activité a vocation à :

poser des « diagnostics » sur les principaux traitements et projets à enjeux de l’organisme, en s’appuyant sur le registre des activités de traitements, les analyses d’impact, les résultats d’audits, les violations de données, les plaintes, etc. ;
évaluer les risques pour l’organisme aux niveaux juridique, financier et réputationnel ;
documenter les démarches effectuées ou en cours pour respecter la règlementation (ex. : amélioration des mentions d’information ou des clauses contractuelles) et pour favoriser l’adoption de pratiques protectrices des données (ex. : renforcement des mesures de sécurité techniques et organisationnelles, organisation de sessions de sensibilisation auprès du personnel, mise en place de procédures de gestion des violations de données et des demandes d’exercice des droits) ;
identifier les freins et définir les mesures à mettre en œuvre pour améliorer le niveau de protection des données personnelles et permettre à l’organisme de monter en maturité.

Sa rédaction est aussi l’occasion de se poser des questions essentielles :

Les actions prioritaires ont-elles été réalisées ? Que reste-t-il à vérifier, à améliorer ?
Quels sont traitements ou projets nécessitant une attention particulière ? Quels risques présentent-ils pour les personnes concernées ? Quelles mesures d’atténuation devraient être appliquées ?
Les mesures techniques et organisationnelles mises en œuvre par l’organisme sont-elles adaptées aux enjeux des traitements ? Les moyens dédiés sont-ils suffisants ?

Le rapport d’activité constitue ainsi un véritable tableau de bord, assurant l’historique des actions menées, notamment en cas de changement de DPO.

Un outil pour rendre compte des actions de mise en conformité

Vis-à-vis de la direction de l’organisme

Le RGPD prévoit que le DPO rend compte au niveau le plus élevé de la direction. Le rapport permet ainsi de présenter, au moins une fois par an :

un panorama complet de vos activités, avis et recommandations ;
des indicateurs clés concernant la protection des données (le nombre de demandes d’exercice des droits et les délais de réponse, le nombre de violations de données, les modèles de documents produits, etc.)

L’organisme pour lequel vous travaillez comme DPO peut ainsi vous demander la production de rapports d’activité sans porter atteinte à votre indépendance.

Lorsque c’est possible, la CNIL recommande une présentation formelle du rapport à l’occasion d’une réunion. Il s’agit d’un moment privilégié entre le DPO et la direction pour échanger sur le niveau de conformité de l’organisme.

Présenter et partager le rapport d’activité va vous permettre de :

donner la mesure de votre engagement dans l’exercice de vos missions, des progrès accomplis par l’organisme (gouvernance globale, rationalisation de la gestion des données et conformité des traitements) ainsi que des bénéfices, notamment économiques, en résultant (ex. : amélioration de sa sécurité juridique et informatique, du climat social interne, de sa réputation vis-à-vis des clients ou des usagers) ;
souligner les éventuelles difficultés rencontrées et solliciter les moyens nécessaires à la poursuite de vos missions dans des conditions satisfaisantes (ex. : formations, adhésion à une association de professionnels, renforcement du soutien politique, du temps dédié à l’exercice de la fonction, etc.).

Vis-à-vis du personnel de l’organisme

Le rapport annuel d’activité du DPO est aussi un support de sensibilisation pour les instances représentatives du personnel et les collaborateurs :

il renforce votre visibilité ;
il met en lumière les actions menées et celles à poursuivre.

Ainsi, il est recommandé de reprendre quelques éléments clés figurant dans le rapport rédigé à l’intention de la direction, pour :

partager le plus largement possible les progrès accomplis comme le « reste à faire » en matière de protection des données ;
proposer un temps d’échanges collectif sur les enjeux associés et rappeler toutes les ressources à disposition (les coordonnées du DPO, les modèles de mention d’information, les procédures à suivre en cas de violations de données ou d’exercice des droits etc.).

Une telle action mérite d’être organisée avec le soutien actif et visible du plus haut niveau de la hiérarchie. Elle s’inscrit en effet dans la fonction première du délégué / de la déléguée : favoriser la diffusion et l’assimilation d’une culture « protection des données » au sein de l’organisme.

Comment élaborer son rapport d’activité ?

Vous disposez d’une grande liberté concernant :

la date d’établissement de votre premier rapport et des suivants (un an après la date de sa prise de fonction, en début d’année calendaire, civile, ou encore au moment de l’établissement des budgets annuels, où sont déterminés les risques et objectifs de l’organisme) ;
son format, sa structure et son contenu, lesquels varieront en fonction de la taille de l’organisme, de sa nature, de la volumétrie des traitements mis en œuvre et des enjeux s’y attachant.

Nous vous conseillons de rédiger votre rapport en tenant compte de sa double vocation d’outil de pilotage et de communication. Par ailleurs, l’organisme qui vous a désigné DPO peut légitimement vous adresser des consignes particulières.

Les bonnes pratiques

Appréhender le rapport d’activité comme un document vivant, en l’élaborant non pas « d’un bloc » mais au fil du temps, au gré des activités du DPO (alimentation par petites touches successives au sein d’une structure prédéfinie, en ventilant les actions par catégorie d’activités : « sensibilisation », « conseil », « contrôle », etc.). Cela vous évitera une surcharge de travail en fin d’année ou des oublis. Le rapport pourra aussi alimenter les points intermédiaires du délégué avec l’organisme qui l’a désigné.
S’appuyer sur l’outil proposé par la CNIL pour suivre l’évolution de la maturité de son organisme en matière de protection des données. Vous pourrez exploiter les éléments d’évaluation et les actions à mener qui y seront listées : où en est-on, où veut-on aller, quand et comment ?
Rédiger le rapport dans un style clair et concis et inclure, autant que possible, des éléments chiffrés, visuels et graphiques pour faciliter sa lecture : histogrammes, tableaux, frises chronologiques, couleurs associées à différents niveaux de progression, etc.

À noter : la plupart des logiciels de pilotage de la conformité « RGPD » intègrent des modules de compte rendu ou « reporting » facilitant la production des éléments chiffrés. En raison de l’intérêt particulier qu’ils présentent, certains des éléments pointés pourront figurer en annexe ou être utilement assortis des liens vers les dossiers où ils sont enregistrés (ex. : copies d’échanges avec la CNIL, synthèses d’AIPD, etc.).

Un modèle pour vous accompagner

Pour faciliter la rédaction de votre rapport d’activité, la CNIL propose un modèle (format ODT). Non contraignant, il constitue une base de travail utile pour structurer une présentation à destination de la direction.

Ce modèle peut être adapté selon vos besoins :

en fonction des spécificités de votre organisme (taille, ressources, nature des activités, volume et sensibilité des traitements, pratiques internes de reporting / compte rendu, etc.) ;
en mutualisant certaines parties lorsque vous intervenez pour plusieurs structures (par exemple dans le cadre d’un DPO mutualisé) ;
en distinguant, si nécessaire, les traitements réalisés en tant que responsable de traitement de ceux effectués en tant que sous-traitant ;
en élaborant des versions simplifiées ou dérivées, destinées à une diffusion plus large, notamment auprès des collaborateurs.

Télécharger le modèle de rapport d’activité