Le principe d’accountability est un ensemble de bonnes pratiques visant à encadrer les différents traitements de données personnelles dans les entreprises et les institutions publiques. C’est une notion centrale du Règlement européen. De ce fait, elle s’applique à toute entité qui collecte des données à caractère personnel. L’obligation de démontrabilité pèse essentiellement sur le responsable du traitement. Des sanctions sont prévues en cas de manquement.
Qu’est-ce que le principe d’accountability ?
La Commission Nationale d’Informatique des Libertés ou CNIL définit l’accountability comme « l’obligation de mettre en pratique des procédures internes et des mécanismes dans l’objectif de démontrer le respect des règles liées à la protection des données ». Conformément à l’article 5 du Nouveau Règlement, cela se traduit par une obligation de conformité. Ainsi, quand l’autorité de contrôle opère une vérification, l’entreprise devra être en mesure de prouver son respect des exigences du RGPD.
Cela permet également à la CNIL de vérifier si les mesures techniques prises sont opérantes. Pour rappel, l’ancienne Loi Informatique et Libertés imposait une déclaration immédiate auprès de la CNIL de toute opération de collecte et de traitement de données personnelles. La logique actuelle est l’auto-contrôle, réalisé par les responsables de traitement. Il s’ensuivra d’un contrôle par l’autorité européenne. Le rôle du responsable de traitement se résume comme suit :
- S’assurer continuellement de la conformité du traitement des données à caractère personnel. Tout repose sur la connaissance des données collectées et du moment choisi pour les recueillir.
- Prouver la conformité, grâce à la tenue d’un registre des traitements. Lors du contrôle par la CNIL, une simple référence à ce document sera suffisante pour déterminer si les mesures de sécurité sont efficaces ou non.
Accountability : quelles sont les bonnes pratiques à mettre en œuvre ?
La mise en œuvre de l’accountability implique la prise de mesures techniques et organisationnelles. On peut citer les suivantes :
- Tenir différents registres (registre des traitements, registre de sous-traitance, registre de violation des données…)
- Traiter les données nécessaires conformément aux objectifs
- Garantir la transparence lors du traitement des données personnelles
- Respecter la durée de conservation des données
- Pseudonymiser les données
- Prendre les dispositions nécessaires pour respecter les droits et libertés des personnes concernées
- Sécuriser le processus de collecte de données et de traitement
- Revoir la politique de confidentialité
- Désigner un délégué à la Protection des données (DPO)
- Mettre en place une procédure effective
Les risques encourus en cas de non-respect de ces mesures sont élevés. Tout connaitre sur l’accountability RGPD.
Les points importants de la notion d’accountability
Comme énoncé plus haut, le principe d’accountability englobe de nombreuses actions à mettre en œuvre. Toutefois, certains points sont essentiels pour pouvoir démontrer sa conformité avec le RGPD :
- Produire une documentation complète et exhaustive des mesures permettant de gouverner la protection de la vie privée.
- Sensibiliser et former le personnel aux règles du RGPD
- Documenter le fondement légal de chaque opération de traitement
La prise en considération du principe d’accountability implique la responsabilisation de son entreprise. Les notions d’anticipation et de preuve sont fortement liées à la notion de l’accountability.
Quelles sont les sanctions en cas de non-conformité ?
L’ensemble des autorités de contrôle des pays européens peuvent prononcer des sanctions pécuniaires et administratives :
- Un rappel à l’ordre en guise d’avertissement
- Une lourde amende de 20 millions d’euros ou l’équivalent de 4% du chiffre d’affaires annuel de l’organisme concerné
- Limitation temporaire ou permanente du traitement de données à caractère personnel
- La mise en conformité dans un délai défini
- Une publication des sanctions dans certains cas
Quelles sont les sanctions en cas de non-conformité ?
L’ensemble des autorités de contrôle des pays européens peuvent prononcer des sanctions pécuniaires et administratives :
- Un rappel à l’ordre en guise d’avertissement
- Une lourde amende de 20 millions d’euros ou l’équivalent de 4% du chiffre d’affaires annuel de l’organisme concerné
- Limitation temporaire ou permanente du traitement de données à caractère personnel
- La mise en conformité dans un délai défini
- Une publication des sanctions dans certains cas