I. Introduction

J’ai débuté ma carrière dans le secteur bancaire en 2007. À cette époque, Bâle II était sur toutes les lèvres et la gestion des risques commen­çait à véri­ta­ble­ment se renfor­cer dans les insti­tu­tions bancaires. Pour mémoire, cette régle­men­ta­tion inter­na­tio­nale du secteur bancaire a été publiée par le comité de Bâle en 2004, traduit dans une direc­tive euro­péenne en 2006 et entrée en vigueur à partir de 2007. Il a depuis lors été remplacé par Bâle III, en vigueur depuis 2023. Ce dispo­si­tif pruden­tiel visait à mieux appré­hen­der les risques bancaires en défi­nis­sant des exigences mini­mums en capi­tal (pilier I), un cadre de super­vi­sion régle­men­taire (pilier II) et une obli­ga­tion de trans­pa­rence (pilier III). Ces direc­tives étaient en majo­rité desti­nées à gérer le risque de crédit et de contre­par­tie, mais il intro­dui­sait égale­ment la notion de risques opéra­tion­nels, c’est-à-dire, pour faire simple, les risques non bancaires. Parmi les exigences du pilier I, il était attendu des banques qu’elles établissent une carto­gra­phie des risques opéra­tion­nels auxquels elles étaient expo­sées. De vastes chan­tiers ont été lancés dans toutes les insti­tu­tions finan­cières pour inven­to­rier les risques, les docu­men­ter et les évaluer. Ces carto­gra­phies longues et indi­gestes au départ sont deve­nues, pour la plupart et en une dizaine d’années, de véri­tables outils de pilo­tage des risques. Il aura fallu du temps et de sérieux efforts pour les enri­chir, les inter­con­nec­ter, les ratio­na­li­ser et mettre en place une gouver­nance robuste afin qu’elles deviennent des outils de gestion du risque indis­pen­sables à toute insti­tu­tion financière.

Lorsque j’ai rejoint l’univers de la protec­tion des données en 2017, alors que le RGPD commen­çait à faire trem­bler bon nombre d’organisations inter­na­tio­nales en Suisse, j’ai pu obser­ver de nombreuses simi­li­tudes quant à la manière d’appréhender la consti­tu­tion du Record of Processing Activities (RoPA), ou registre des acti­vi­tés de trai­te­ment en bon fran­çais. Dans cette contri­bu­tion, je dévoile quelques-uns ensei­gne­ments que j’ai tiré de mon expé­rience dans la gestion des risques opéra­tion­nels, et je four­nis quelques pistes sur la manière de les appli­quer pour rapi­de­ment gagner en matu­rité et faire du registre des acti­vi­tés de trai­te­ment un outil de pilo­tage essentiel.

II. Qu’est-ce au juste qu’un registre des acti­vi­tés de traitement ?

a) Ce que dit la loi

Selon l’art. 12 LPD, les respon­sables du trai­te­ment et les sous-trai­tants tiennent chacun un registre de leurs acti­vi­tés de trai­te­ment. Cet article est large­ment inspiré, si ce n’est quasi copié-collé, de l’art. 30 RGPD. Les organes fédé­raux doivent en outre décla­rer ce registre au PFPDT, contrai­re­ment aux entre­prises privées qui n’y sont pas tenues. Les entre­prises privées de moins de 250 employés sont exemp­tées à la fois par l’art. 12 al. 5 LPD et l’art. 30 al. 5 RGPD, si tant est que les acti­vi­tés de trai­te­ment ne présentent pas de risque élevé d’atteinte aux personnes. Les lois canto­nales en matière de protec­tion des données imposent elles aussi géné­ra­le­ment la tenue et la publi­ca­tion des registres d’activités de trai­te­ments par les enti­tés canto­nales ou commu­nales. C’est par exemple le cas dans les cantons de Fribourg et du Valais.

Les infor­ma­tions à collec­ter listées à l’art. 12 al. 2 LPD se rapportent à la nature, à la fina­lité et aux personnes respon­sables de l’activité de trai­te­ment des données, à la nature des données person­nelles et ceux à qui elles se rapportent, à leurs desti­na­taires et le cas échéant, au pays réci­pien­daire, à la durée de conser­va­tion et enfin aux mesures de sécu­rité. De nombreux modèles et des outils répon­dant aux critères du RGPD sont dispo­nibles depuis quelques années, certains mis à dispo­si­tion par les auto­ri­tés de contrôle elles-mêmes comme la CNIL en France ou l’ICO au Royaume-Uni, et permettent d’établir son registre sans trop se poser de question.

b) Ce qu’il en est

Bon nombre d’organisations se sont lancées dans des programmes de recen­se­ment des acti­vi­tés de trai­te­ment des données, certaines en dérou­lant des ques­tion­naires à travers toute l’organisation, d’autres en réuti­li­sant des inven­taires de proces­sus préexis­tants, d’autres enfin en partant d’inventaires infor­ma­tiques et/​ou de résul­tats d’outils de discovery.

Quelle que soit la démarche adop­tée, ces premières versions du registre auront eu le mérite de rassu­rer la direc­tion sur la confor­mité à la loi et de sensi­bi­li­ser un certain nombre de colla­bo­ra­teurs sur la problé­ma­tique de la protec­tion des données. Ces premières versions peuvent cepen­dant présen­ter encore aujourd’hui de nombreuses faiblesses qui en font pour bon nombre d’organisations une contrainte plutôt qu’un atout, à l’instar des premières carto­gra­phies de risques opérationnels :

• En moti­vant leur élabo­ra­tion unique­ment par la volonté de satis­faire aux besoins de confor­mité avec très peu si ce n’est aucun béné­fice percep­tible, ces démarches ont pu géné­rer un désen­ga­ge­ment voir une méfiance à la fois de la part de la direc­tion et des collaborateurs.
• En adop­tant une approche dite « bottom-up », c’est-à-dire en inter­ro­geant de nombreux colla­bo­ra­teurs ou en éplu­chant des inven­taires IT très détaillés, ces démarches ont pu engen­drer un cata­logue long, trop détaillé et incohérent.
• En faisant appel à des consul­tants externes, en réuti­li­sant des cata­logues préexis­tants et/​ou en utili­sant des outils de disco­very, ces démarches ont pu entraî­ner un manque d’implication et une déres­pon­sa­bi­li­sa­tion des colla­bo­ra­teurs en interne.
• En récla­mant beau­coup de temps et d’efforts, ces démarches ont pu tout simple­ment fati­guer et démo­ti­ver les parties prenantes, lais­sant ces registres « dans leur jus » et aban­don­nés de tous.

Toutes les orga­ni­sa­tions n’ont pas néces­sai­re­ment été confron­tées à ces diffi­cul­tés. Cela dit, quel que soit son état d’avancement, il est peut-être temps de prendre du recul et de s’interroger sur l’utilité et l’efficacité de son registre des acti­vi­tés de trai­te­ment afin d’en opti­mi­ser le ratio coûts/​bénéfices.

III. Quels béné­fices en tirer ?

a) Connaître ses données

Si ces articles sont présents dans la LPD et dans le RGPD, c’est pour une bonne raison : le registre des acti­vi­tés de trai­te­ment consti­tue la meilleure des preuves que l’organisation sait ce qu’elle fait de toutes les données person­nelles qu’elle traite. Plus le registre est de qualité et à jour, plus il est vrai­sem­blable que l’organisation sait, voire maîtrise ce qui s’y passe. C’est la raison pour laquelle le registre des acti­vi­tés de trai­te­ment est sans conteste le premier justi­fi­ca­tif demandé par l’autorité de protec­tion des données en cas d’enquête. Cela dit, d’autres parties prenantes en interne comme les fonc­tions d’audit, de confor­mité ou de gestion des risques peuvent aussi avoir un inté­rêt à consul­ter ce registre. Il peut leur permettre d’enrichir leurs sources d’information pour mener à bien leurs évalua­tions et inves­ti­ga­tions, d’appréhender certaines problé­ma­tiques sous un angle diffé­rent ou d’affiner leurs iden­ti­fi­ca­tions et évalua­tions des risques.

b) Instaurer la confiance

La loi fédé­rale sur le prin­cipe de la trans­pa­rence dans l’administration fédé­rale a pour but, en complé­ment de la LPD, de réins­tau­rer la confiance dans les insti­tu­tions publiques. Selon l’art. 1 LTrans, elle a pour objet de promou­voir la trans­pa­rence quant à la mission, l’organisation et l’activité de l’administration. En allant au-devant de décla­rant un registre exhaus­tif et de qualité, non seule­ment auprès du PFPDT ou du préposé canto­nal, mais égale­ment auprès de ses conci­toyens, l’administration peut envoyer un signal fort quant à la légi­ti­mité et le sérieux avec lequel elle traite des données person­nelles. Dans le secteur privé, les sous-trai­tants ont égale­ment tout inté­rêt à parta­ger un registre de qualité avec leurs clients pour les assu­rer de la confor­mité du trai­te­ment des données qui leur sont confiées. Partager inté­gra­le­ment ce type de docu­ments en l’état n’est pas toujours possible, mais en publier une partie, un résumé ou en expli­ci­ter les fonde­ments peut appor­ter plus de trans­pa­rence et de crédi­bi­lité auprès des clients, parte­naires, employés ou toute autre partie prenante à l’entreprise.

c) Cibler les remédiations

Un bon registre des acti­vi­tés peut être un outil très puis­sant lorsqu’il s’agit d’évaluer l’ampleur, la teneur et de tracer les contours de futurs programmes de remé­dia­tion. Chaque année, de nouvelles lois rela­tives à la protec­tion des données sont adop­tées de par le monde, comme le Digital Personal Data Protection Act en Inde en 2023. Chaque année, de nouveaux arrêts enri­chissent la juris­pru­dence, voire boule­versent des pratiques jusqu’alors accep­tables. Chaque année enfin, de nouvelles tech­no­lo­gies telles que l’IA géné­ra­tive, de nouvelles pratiques telles que l’abandon des cookies tiers ou même des réor­ga­ni­sa­tions pure­ment internes peuvent amener à lancer des programmes de petite ou de grande ampleur. Estimer l’impact sur le trai­te­ment des données, anti­ci­per les problèmes et les résoudre proac­ti­ve­ment sera nette­ment plus aisé si le registre des acti­vi­tés de trai­te­ment est complet, à jour et bien structuré.

d) Rationaliser les processus

À peu près toutes les exigences liées à la protec­tion des données peuvent être reliées de près ou de loin au registre des acti­vi­tés de trai­te­ment et opti­mi­sées. Par exemple :

• Ce qui est inscrit dans la poli­tique de protec­tion des données peut être un résumé du registre des acti­vi­tés de traitement.
• La source d’information pour répondre à une demande de droit d’accès peut être plus faci­le­ment iden­ti­fiée en consul­tant le registre des acti­vi­tés de traitement.
• Avant d’entamer une étude d’impact sur un proces­sus préexis­tant, le registre des acti­vi­tés de trai­te­ment permet de comprendre le contexte de l’activité dans son ensemble, d’avoir une évalua­tion du risque préexis­tant et de n’évaluer que le risque incré­menté ou consolidé.

Et inver­se­ment, opérer ces contrôles en lien étroit avec le registre des acti­vi­tés permet­tra de l’enrichir, de le chal­len­ger et de l’améliorer.

Au-delà même des proces­sus pure­ment liés à la protec­tion des données, le registre des acti­vi­tés peut être un excellent point de départ pour réflé­chir à l’efficacité des proces­sus internes, à l’expérience client ou au posi­tion­ne­ment de la marque ou des valeurs de l’organisation. À titre d’exemple, le consen­te­ment utilisé comme base juri­dique dans plusieurs proces­sus diffé­rents, est-il toujours collecté et géré effec­ti­ve­ment et effi­ca­ce­ment ? L’expérience client de collecte du consen­te­ment est-elle cohé­rente et fluide ?

e) Gérer les risques

Après y avoir ajouté une compo­sante risque, le registre des acti­vi­tés de trai­te­ment peut rapi­de­ment deve­nir un outil de gestion des risques très utile, à la fois pour soute­nir un dispo­si­tif de surveillance opéra­tion­nel des contrôles, mais égale­ment pour appor­ter une vue d’ensemble stra­té­gique et faci­li­ter la prise de déci­sion. En clas­si­fiant, évaluant et/​ou en hiérar­chi­sant les acti­vi­tés et les flux de données, il devient possible de répondre à un certain nombre de ques­tions, par exemple :

• En surveillant des indi­ca­teurs clés par rapport à des seuils d’alerte : Le volume de trans­ferts à l’étranger est-il accep­table ? Dans combien de pays diffé­rents trans­met­tons-nous des données et, après pondé­ra­tion du risque par pays, quelle est notre expo­si­tion ? La quan­tité de données sensibles récol­tées est-elle en adéqua­tion avec l’activité de l’organisation ? Quelle est l’exposition au risque de manière conso­li­dée et où se situe-t-elle par rapport au seuil de tolérance ?
• En iden­ti­fiant les acti­vi­tés les plus expo­sées à un risque : Comment cibler ses actions de commu­ni­ca­tion et de forma­tion ? Quelles équipes doivent être davan­tage surveillées par des dispo­si­tifs de sécurité ?
• En établis­sant des scéna­rios de risque pour évaluer l’impact d’un chan­ge­ment interne ou externe et anti­ci­per ses effets : Que se passe­rait-il si la loi de protec­tion des données chinoise (ndlr la PIPL qui restreint consi­dé­ra­ble­ment les possi­bi­li­tés de trans­ferts hors de Chine) s’étendait aux provinces auto­nomes, et notam­ment Hong-kong ? Que se passe­rait-il si un logi­ciel externe était jugé non conforme, comme suite aux 101 plaintes dépo­sées en 2020 par NOYB contre des utili­sa­teurs de Google Analytics et Facebook Connect ?

Toutes ces ques­tions et bien d’autres encore trou­ve­ront leurs réponses dans le registre des acti­vi­tés de trai­te­ment en y appli­quant une vue centrée sur le risque.

IV. Comment l’élaborer de manière efficace ?

Construire et main­te­nir un registre des acti­vi­tés de trai­te­ment a un coût, qui ne fera qu’augmenter à mesure qu’il devien­dra plus sophis­ti­qué et profi­table à l’organisation. En conte­nir l’augmentation permet de sécu­ri­ser et d’optimiser les ressources néces­saires et de le rendre viable sur long terme.

a) Faire simple et proportionné

Tout d’abord, réduire la granu­la­rité des acti­vi­tés listées en les regrou­pant à un niveau plus élevé peut rendre le registre des acti­vi­tés de trai­te­ment plus facile à navi­guer et à main­te­nir. La granu­la­rité dépend de la complexité de l’activité et de l’exposition au risque et peut varier au sein d’une même orga­ni­sa­tion selon les fonc­tions. Par exemple, le marke­ting peut exiger une vue plus détaillée que les acti­vi­tés d’approvisionnement. En le combi­nant avec le modèle de données de l’organisation, il peut appor­ter une vue riche et holis­tique, sans pour autant se perdre dans les détails.

De plus, la quan­tité d’information consi­gnée dans le registre des acti­vi­tés de trai­te­ment et la fréquence de révi­sion peuvent varier en fonc­tion du niveau de risque. Les acti­vi­tés peu risquées peuvent par exemple ne consi­gner que les infor­ma­tions requises par la loi et être revues tous les 2–3 ans. À l’inverse, les acti­vi­tés à risque élevé, comme le déve­lop­pe­ment d’une IA, celles où l’environnement est parti­cu­liè­re­ment dyna­mique, ou celles critiques pour la stra­té­gie commer­ciale peuvent faire l’objet de revues plus pous­sées et fréquentes.

b) Adopter une approche top-down

Standardiser les entrées dans le registre des acti­vi­tés faci­lite la conso­li­da­tion, permet de parta­ger une vision commune des concepts, et accé­lère les proces­sus de main­te­nance et de revue. Il convient pour cela de prendre le temps de revoir l’ensemble des acti­vi­tés de trai­te­ment et de créer à partir de cela une taxo­no­mie de tous les concepts clés de protec­tion des données propre à l’organisation. Cette taxo­no­mie peut alors être utili­sée comme données de réfé­rence et faci­li­ter la saisie et la mise à jour.

c) Automatiser

Automatiser les entrées dans le registre des acti­vi­tés de trai­te­ment en le connec­tant à d’autres sources de données permet de réduire les efforts néces­saires à sa mise à jour. Par exemple, il peut être relié aux analyses d’impact, à l’inventaire des appli­ca­tions infor­ma­tiques, au modèle de données et/​ou à la base de données des contrats. Il est illu­soire de vouloir auto­ma­ti­ser entiè­re­ment un registre des acti­vi­tés de trai­te­ment. Cependant, cela peut permettre de foca­li­ser les ressources là où elles ont une véri­table valeur ajou­tée, en super­vi­sant ces modi­fi­ca­tions et en les interprétant.

d) Responsabiliser

Assigner des respon­sa­bi­li­tés là où les acti­vi­tés sont menées et ne pas cher­cher à centra­li­ser la tenue du registre des acti­vi­tés de trai­te­ment, permet d’en amélio­rer la perti­nence et de mieux répar­tir la charge de travail pour le main­te­nir à jour. En inves­tis­sant dans la commu­ni­ca­tion, la forma­tion et l’implication des colla­bo­ra­teurs à travers l’ensemble de l’organisation, le registre des acti­vi­tés peut deve­nir un exer­cice collec­tif, voire grati­fiant pour l’organisation.

V. Conclusion – Par où commencer ?

Obtenir un registre des acti­vi­tés de trai­te­ment mature qui apporte autant de béné­fices qu’il ne demande d’efforts, ne se fait pas en un jour. Cela exige beau­coup de réflexion, d’efforts et surtout de temps. Pour ne pas se lais­ser submer­ger par l’ampleur de la tâche et se décou­ra­ger face à la résis­tance de la direc­tion et des colla­bo­ra­teurs qui y verront avant tout une occa­sion de leur créer du travail, voici quelques astuces pour démarrer :

• Visualiser le registre des acti­vi­tés de trai­te­ment « idéal », propor­tion­nel et adapté à la taille, à la complexité et à la stra­té­gie de l’organisation, mais ne pas le commu­ni­quer large­ment ni fixer d’échéance – cela permet­tra de ne pas se perdre en cours de route, de connaître les prio­ri­tés, tout en évitant de se mettre une pres­sion inutile et de « vendre du rêve ». Cette vision pourra bien entendu évoluer au fil du temps en fonc­tion des chan­ge­ments légis­la­tifs, tech­no­lo­giques ou orga­ni­sa­tion­nels, internes ou externes à l’organisation.
• Évaluer en toute honnê­teté le ratio coûts/​bénéfices actuel du registre des acti­vi­tés de trai­te­ment, en analy­sant son contenu, les outils, le proces­sus et la gouver­nance en place – cela permet de connaître le point de départ et d’identifier les failles et l’étendue du travail à faire.
• Commencer petit, effi­cace et surtout visible, puis conti­nuer à livrer des amélio­ra­tions de manière régu­lière et agile – cela permet de progres­si­ve­ment gagner en visi­bi­lité, d’augmenter l’implication des colla­bo­ra­teurs et de sécu­ri­ser le soutien hiérar­chique quand le moment sera venu de migrer ou de mobi­li­ser un programme de plus grande ampleur.

L’élaboration d’un registre des acti­vi­tés de trai­te­ment a pu s’apparenter à un sprint au moment de l’entrée en vigueur du RGPD ou de la LPD. Maintenant qu’il est en place, le rendre véri­ta­ble­ment utile et effi­cace s’apparenterait davan­tage aux 10.000 pas par jour : un effort modéré et constant qui permet de garder un dispo­si­tif en bonne santé et résilient.