Par Gérard HAAS et Bastien EYRAUD
Le principe d’accountability est une obligation légale introduite en droit français par le Règlement général sur la protection des données personnelles (RGPD). Il s’applique désormais à toute personne qui collecte et opère un traitement de données.
Cette notion implique que le responsable de traitement mette en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement.
Terme anglo-saxon difficile à traduire en Français, l’accountability désigne le fait de rendre des comptes, d’être comptable de son action en faveur de la protection des données personnelles à tout moment en cas de contrôle.
1. Un renversement total de paradigme
C’est ainsi que le RGPD opère un revirement avec le principe de contrôle a priori.
En effet, toute collecte ou traitement de données personnelles devait faire l’objet d’une déclaration préalable auprès de la CNIL.
Désormais, la logique est celle d’un auto-contrôle par le responsable de traitement, doublé d’un éventuel contrôle a posteriori par le régulateur (CNIL).
Ainsi, le principe d’accountability peut se résumer en deux idées clés. Le responsable de traitement de données personnelles doit :
-
S’assurer en permanence de la conformité du traitement des données personnelles. Pour cela il doit à tout moment être en mesure de savoir quelles données sont collectées et pourquoi.
-
Être en mesure de justifier de cette conformité, notamment en tenant à jour un registre des traitements qu’il devra présenter en cas de contrôle.
2. Quelles mesures adopter pour être « accountable » ?
L’entreprise doit désormais mettre en place une véritable politique interne de gouvernance des données personnelles. Cette politique doit découler d’une approche par les risques, suivant la logique de responsabiliser les acteurs. Le G29 (Le groupe des « CNIL » européennes) a donné des lignes directrices afin de mettre en place l’accountability au sein de votre entreprise.
Cette politique doit notamment permettre de s’assurer que :
-
Les traitements reposent sur des bases légales (consentement, obligation légale ou intérêt légitime)
-
Les traitements de données respectent les droits des utilisateurs (minimisation des données, droit de rectification, d’opposition, information des utilisateurs à travers la politique de confidentialité etc…)
-
Des mesures de sécurité suffisantes sont prises pour la conservation des données, qu’une procédure de notification en cas de faille de sécurité (piratage) a été mise au point, que des audits de sécurité réguliers sont effectués…
-
Qu’un délégué à la protection des données (DPO) (art 7) a bien été désigné (cliquez ici pour en savoir plus sur le DPO)
-
Le personnel est régulièrement formé et sensibilisé aux enjeux de la protection des données personnelles.
-
Le traitement de données personnelles intègre les principes de privacy by design et privacy by default (ici pour en savoir plus sur ces principes)
***
Le cabinet HAAS Avocats vous assiste dans vos démarches de mise en conformité avec le RGPD en vous aidant dans les différentes étapes de l’accountability.