Plusieurs outils de mise en conformité sont prévus par les textes :

• le registre des activités de traitement,
• l'analyse d'impact,
• le délégué à la protection des données,
• les codes de conduite et de certification.

Le registre des activités constitue un outil essentiel pour démontrer la conformité des responsables de traitement et sous-traitants avec les obligations légales imposées par le RGPD et faciliter le contrôle des autorités compétentes, comme la CNIL à laquelle le registre doit être mis à disposition sur demande – Article 30, 4° du Règlement général sur la protection des données

Le registre des activités de traitement concerne les traitements de données à caractère personnel et doit être maintenu à jour par :

- les responsables de traitement. – Article 30, 1° du Règlement général sur la protection des données (RGPD)

- les sous-traitants, qui doivent consigner toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement. – Article 30, 2° du Règlement général sur la protection données

Les entreprises ou organisations employant moins de 250 personnes ne sont généralement pas tenues de tenir un registre des activités de traitement, sauf dans les cas suivants. – Article 30, 5° du Règlement général sur la protection des données :

• de risque accru pour les droits et libertés des personnes concernées, en raison de la nature des données traitées ;
• de traitements non occasionnels, tels que ceux liés à la gestion des ressources humaines, de la paie ou des données clients ;
• de traitements portant sur des données sensibles (données biométriques, données de santé ou données relatives aux condamnations pénales ou aux infractions).

Le registre des activités doit être tenu par écrit, sur support papier ou électronique. – Article 30, 3° du Règlement général sur la protection des données

Le contenu du registre varie en fonction de l’entité qui le tient à jour :

- le responsable de traitement : il doit inclure des informations comme les finalités des traitements, les catégories de données concernées, les destinataires éventuels, et les mesures de sécurité mises en œuvre ;

- le sous-traitant : il doit documenter les activités de traitement effectuées pour le compte du responsable, ainsi que les mesures techniques et organisationnelles appliquées pour sécuriser les données.

Un modèle simplifié de registre est disponible ici

L’analyse d’impact pour la protection des données (AIPD) est obligatoire pour tout traitement susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques. – Article 35, 1° du Règlement général sur la protection des données ; Article 62 de la Loi informatique et libertés

Elle vise à garantir :

• la responsabilité des responsables de traitement,
• la protection des données dès la conception et, par défaut, 
• la sécurité des données.

Elle remplit une double fonction :

• évaluer les risques pour les droits et libertés des personnes concernées ;
• assurer la conformité du traitement et en apporter la preuve – G29, Lignes directrices AIPD, p. 4

En identifiant les risques liés à un traitement et en évaluant leur gravité, l’AIPD permet de définir les mesures adaptées pour limiter ces risques. – Considérant 84 du Règlement général sur la protection des données

Une AIPD unique peut couvrir plusieurs traitements similaires présentant des risques similaires. – Article 35, 1° du Règlement général sur la protection des données

Les traitements basés sur une obligation légale ou nécessaires à une mission d’intérêt public sont également soumis à une AIPD, sauf dérogations prévues par l’article 35, 10° du Règlement général sur la protection des données

L’AIPD doit être réalisée avant la mise en œuvre du traitement. – Article 35, 1° du Règlement général sur la protection des données

Seuls les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques nécessitent une AIPD. Cela inclut :

• les traitements utilisant de nouvelles technologies, en fonction de la nature, de la portée, du contexte et des finalités du traitement. – Article 35, 1° du Règlement général sur la protection des données
• les traitements présentant un risque élevé pour les droits tels que la vie privée, la protection des données personnelles, la liberté de mouvement, l’égalité ou la sécurité.

A contrario, une AIPD n’est pas requise pour les traitements n’impliquant pas de risques élevés. – Considérant 91 du Règlement général sur la protection des données

L’AIPD est obligatoire dans les situations suivantes :

1. Évaluation systématique et automatisée des aspects personnels, y compris le profilage, ayant des effets juridiques ou significatifs pour les personnes concernées ;
2. Traitement à grande échelle de catégories particulières de données ou de données liées à des condamnations pénales. - Articles 9, 1° et 10 du Règlement général sur la protection des données ;
3. Surveillance systématique à grande échelle de zones accessibles au public.

En dehors de ces cas, une AIPD peut être nécessaire si les caractéristiques du traitement (nature, portée, contexte, finalités) ou l’utilisation de nouvelles technologies augmentent les risques. – Considérants 71 et 91 du Règlement général sur la protection des données

Lorsque l’AIPD indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, une consultation préalable de la CNIL est requise avant la mise en œuvre du traitement. - Article 36 du Règlement général sur la protection des données

C’est le cas, par exemple, lorsque le responsable du traitement traite à grande échelle des catégories particulières (données génétiques, biométriques ou concernant la santé). 

Pendant cette période, le traitement est suspendu jusqu’à l’émission d’un avis par l’autorité de contrôle.

Le contenu minimal d’une AIPD est prévu par l'article 35, 7° du Règlement général sur la protection des données.

Plusieurs éléments sont requis :

1. description des opérations de traitement et des finalités,

2. évaluation de la nécessité et de la proportionnalité du traitement,

3. évaluation des risques pour les droits et libertés des personnes concernées,

4. mesures envisagées pour atténuer ces risques.

Le responsable du traitement doit également surveiller la conformité continue du traitement avec l’AIPD. – Article 35, 11° du Règlement général sur la protection des données

Les responsables de traitement doivent désigner un délégué à la protection des données (en anglais, Data Protection Officer - DPO) dès lors que :

« a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;

b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».

- Article 37, 1° du Règlement général sur la protection des données

Il est également indiqué que :

« Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille ».

- Article 37, 3° du Règlement général sur la protection des données

« 1. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

2. Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l'article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d'entretenir ses connaissances spécialisées.

3. Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère le présent règlement.

5. Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions, conformément au droit de l'Union ou au droit des États membres.

6. Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts ».

- Article 38 du Règlement général sur la protection des données

« 1. Les missions du délégué à la protection des données sont au moins les suivantes :

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données ;

b) contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant ;

c) dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 ;

d) coopérer avec l'autorité de contrôle ;

e) faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

2. Le délégué à la protection des données tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement ».

- Article 39 du Règlement général sur la protection des données

Le Règlement sur la protection des données (RGPD) prévoit que les États, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du règlement compte tenu des besoins spécifiques dans les différents secteurs de traitement des données personnelles.

Le code de conduite, qui peut évoluer dans son contenu, peut prévoir un certain nombre de choses permettant de préciser et d'adapter l'application du règlement aux situations particulières selon le secteur ou le type de responsable de traitement (ou de sous-traitant) concerné, comme :

- le traitement loyal et transparent ;

- les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques ;

- la collecte des données à caractère personnel ;

- la pseudonymisation des données à caractère personnel ;

- les informations communiquées au public et aux personnes concernées ;

- l'exercice des droits des personnes concernées ;

- les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d'obtenir le consentement des titulaires de la responsabilité parentale à l'égard de l'enfant ;

- les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l'article 32 ;

- la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées ;

- le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales ; ou

- les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.

- Articles 40 et 41 du Règlement sur la protection des données

L'article 40, 4° du Règlement général sur la protection des données prévoit que les codes de conduites contiennent les mécanismes permettant à l’organisme de contrôle désigné à cet effet de contrôler le respect du code. Ces organismes peuvent être internes ou externes (en tant que comité ad hoc). 

L'article 40, 5° du Règlement général sur la protection des données prévoit que l'élaboration, la modification ou la prorogation d'un projet de code de conduite soit être soumis pour approbation à l'autorité de contrôle (CNIL).

L'article 41, 1° du Règlement général sur la protection des données prévoit que le contrôle du respect du code de conduite en vertu de l'article 40 peut être effectué par un organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code et qui est agréé à cette fin par la CNIL. A cette fin, la CNIL a publié un référentiel relatif à l'agrément des organismes chargés de contrôler le respect des codes de conduite. - CNIL, Délibération n° 2020-050, 30 avril 2020