Le principe d’accountability du RGPD impose aux organismes de pouvoir demontrer leur conformite a tout moment. En 2025, il ne suffit plus d’etre conforme : il faut le prouver. Quels documents conserver, comment les organiser et pendant combien de temps ? Ce guide detaille les preuves essentielles a constituer pour repondre sereinement a un controle de la CNIL.
Le principe d’accountability : prouver sa conformite
L’article 5.2 du RGPD introduit le principe de responsabilite (accountability) : le responsable de traitement doit etre en mesure de demontrer que les principes relatifs au traitement des donnees sont respectes. Cette obligation de preuve renverse la charge : ce n’est pas a la CNIL de prouver un manquement, mais a l’organisme de demontrer sa conformite. Cette preuve repose sur une documentation structuree et accessible.
Les documents de gouvernance
La premiere categorie de preuves concerne l’organisation interne : la designation officielle du DPO aupres de la CNIL, la lettre de mission du DPO detaillant ses responsabilites et moyens, l’organigramme de la protection des donnees avec les relais dans chaque service, les comptes rendus des comites de pilotage RGPD, et le plan d’action de mise en conformite avec son suivi. Ces documents prouvent que la conformite est pilotee au plus haut niveau de l’organisme.
Les preuves de conformite operationnelle
Au quotidien, les preuves de conformite incluent : le registre des traitements complet et a jour, les analyses d’impact realisees, les contrats de sous-traitance conformes a l’article 28, les politiques de confidentialite diffusees, les procedures de gestion des droits des personnes, le registre des violations de donnees, et les preuves de recueil du consentement. Chaque document doit etre date, versionne et accessible rapidement.
Les preuves de sensibilisation et formation
La CNIL accorde une importance particuliere a la formation des collaborateurs. Conservez : les programmes et supports de formation RGPD, les attestations de presence ou certificats de completion, les resultats des evaluations et quiz, la charte informatique signee par chaque collaborateur, et les communications internes sur la protection des donnees. Ces preuves demontrent l’engagement collectif de l’organisme.
Les preuves techniques de securite
La dimension technique est essentielle : les rapports d’audit de securite, les resultats des tests d’intrusion, la politique de securite des systemes d’information (PSSI), les journaux de revue des habilitations, les preuves de chiffrement des donnees sensibles, et les plans de continuite et de reprise d’activite. Ces documents prouvent que les mesures techniques appropriees sont en place.
Combien de temps conserver ces preuves ?
La duree de conservation des preuves de conformite doit etre proportionnee. En regle generale, conservez les documents pendant toute la duree du traitement concerne, plus le delai de prescription applicable (5 ans en matiere administrative). Les contrats de sous-traitance doivent etre conserves 5 ans apres la fin de la relation contractuelle. Les preuves de consentement doivent etre gardees pendant toute la duree du traitement. Mettez en place un systeme d’archivage securise et organise.
Conclusion
Constituer un dossier de preuves RGPD solide est un investissement qui protege votre organisme. En cas de controle de la CNIL ou de litige, ces documents demontrent votre diligence et votre engagement en faveur de la protection des donnees. En 2025, prenez le temps de verifier que votre documentation est complete, a jour et facilement accessible.
