">

Année après année, les CIL ont modifié la perception qu’ils avaient du rapport annuel, considéré désormais comme l’un de leurs outils indispensables. Pour la majorité d’entre eux, il est devenu un exercice salutaire et un levier de conduite du changement. C’est également un élément important de la démarche de responsabilité (« accountability ») attendue du responsable de traitement.

A minima, la présentation du bilan est la seule opportunité de rencontrer son responsable de traitement, de lui faire part de ses difficultés, d’obtenir des moyens, de s’assurer de son soutien, de « sentir » son intérêt pour le sujet…

Malheureusement le RGPD ne prévoit rien concernant un éventuel rapport annuel établi par le délégué à la protection des données et présenté au responsable de traitement.

Le bilan, ou des extraits de celui-ci, communiqué avec l’autorisation du responsable de traitement, peut également être utile pour les directions métier, les responsables opérationnels, le DSI, le DRH, le RSSI, etc. qui y trouveront une mise en perspective de l’action du Délégué, une description de sa doctrine et une affirmation de ses ambitions.
La phase de préparation du bilan peut être mise à profit pour solder quelques incompréhensions, et pour lever d’éventuels freins ou blocages.

Il peut aussi participer d’un climat social apaisé, quand certains de ses extraits sont présentés aux instances représentatives du personnel (IRP), toujours avec l’autorisation du responsable de traitement.

Pour l’entreprise, le rapport est un élément de mémoire de la fonction. Sans bilan, il est difficile d’assurer la traçabilité des actions du délégué à la protection des données au fil des années, ou de comprendre ce qui fondait certaines décisions passées. Par ailleurs, ce fond documentaire sera utile pour les successeurs.

En dernière analyse, c’est pour le DPO lui-même que ce rapport est un levier précieux. Utilisé comme un outil de conduite de changement, il s’avère utile 365 jours par an.

Sa rédaction est également l’occasion d’un exercice d’autocritique : quelle a été la portée de mes actions ? Ai-je fait preuve de vigilance, de diligence ? Ai-je réussi à atteindre les objectifs que je m’étais fixés l’an dernier, et que j’avais annoncés à mon responsable de traitement ? Les moyens dont je dispose sont-ils adaptés ? La formulation du chapitre « plan d’action » oblige à cesser d’être accaparé par le quotidien et d’envisager l’action du CIL sous un angle stratégique.

Pour toutes ces raisons, l’AFCDP a milité pour que le bilan annuel devienne une bonne pratique, et le G29, dans ces lignes directrices sur le DPO, s’exprime d’ailleurs en faveur de cette idée : « Un autre exemple de rapport direct [entre le DPD et son responsable de traitement] est la rédaction d’un rapport annuel sur les activités du DPO qui sont fournies au plus niveau le plus élevé de la direction ».

Bruno Rasle - Délégué général - delegue.general afcdp.net - Tel. 06 1234 0884 - www.afcdp.net





Agenda

3 octobre 2017
Réunion du groupe "Méditerranée"

6 octobre 2017
Réunion AFCDP à Toulouse

12 octobre 2017
Réunion du groupe "Données de Santé"

19 octobre 2017
Réunion du groupe "Normandie"

19 octobre 2017
Réunion du groupe "Poitou Charentes"