Nous voici au mois d’avril qui sonne le début de la période d’approbation des comptes pour de nombreuses entreprises. C’est la période de la clôture des comptes, de la rédaction de rapports et d’autres réjouissances documentaires.

Cette année amène sa nouveauté. En effet, nous fêtons le premier anniversaire du RGPD et les responsables de traitement devront désormais présenter un rapport RGPD en complément du rapport de gestion annuel de la société.

  • Soit la société est tenue par l’obligation de désigner un DPO et c’est celui-ci qui doit rendre compte de son action en présentant un rapport RGPD aux organes de direction. En effet, dans le cadre de sa mission, il doit en faire « directement rapport au niveau le plus élevé de la direction du responsable de traitement ou du sous-traitant » (article 38 du RGPD).
  • Soit la société n’est pas tenue par cette obligation, mais le RGPD impose tout de même à l’égard des responsables de traitement, une obligation de mise en œuvre des mécanismes et procédures internes permettant de démontrer le respect des règles qui sont relatives à la protection des données personnelles (principe d’« accountability »). En pratique, cette obligation d’accountability se traduit par la rédaction d’un rapport qui sera joint au rapport annuel.

En pratique, les entreprises ou le DPO de la société devront intégrer en annexe du rapport de gestion annuel de la société, un rapport sur la situation de celle-ci au regard du RGPD. Ce rapport, devra décrire notamment :

  • la situation de la société (état des traitements, état de la sécurité informatique…) ;
  • les évènements notables survenus au sein de la société au cours de l’exercice (difficultés rencontrées dans la mise en œuvre du RGPD, exercice des droits des personnes…) ;
  • ainsi que les évolutions à prévoir et les perspectives d’avenir (respect du principe de « privacy by design » en cas de conception de logiciels ou applications…).

En cas de contrôle de la CNIL, le responsable de traitement qui aura intégré le rapport RGPD au rapport annuel de gestion pourra apporter la preuve de sa démarche de compliance et du respect du principe d’accountability.

De plus et d’un point de vue pratique, en cas de levée de fonds ou de cession de la société, les investisseurs et/ou cessionnaires seront grandement rassurés de voir cette thématique risquée valablement et annuellement traitée et intégrée dans le processus corporate de la société. Les discussions autour des garanties ou de la valorisation ne pourront qu’être ainsi simplifiées…