Accountability et RGPD : le guide complet
L'accountability est un principe un peu obscur mais pourtant très, très important. Qu'est ce qui se cache derrière ce terme défini par le RGPD ?
L'accountability au sens du RGPD
Définition : obligation pour les organismes de mettre en œuvre des mécanismes et des procédures internes qui permettent de démontrer le respect des règles relatives à la protection des données (définis par les articles 5 et 24 du RGPD).
Avant l'entrée en vigueur du RGPD, il y avait une obligation de déclaration. Une directive de 1995 exigeait du responsable de traitement d'adresser une notification à l'autorité de contrôle de son pays préalablement à la mise en œuvre d'un traitement entièrement ou partiellement automatisé.
Accountability et RGPD : quels impacts sur l'entreprise ?
- L'entreprise n'a plus à déclarer ses traitements à la CNIL
- L'entreprise doit être capable de rendre des comptes sur sa conformité au RGPD à tout moment
- L'entreprise doit pouvoir prouver qu'elle protège ses données à caractère personnel
- L'entreprise doit aussi prendre en compte les données traitées sur support papier
Accountability et RGPD : les avantages pour votre organisme
- Tracer sa conformité aux RGPD.
- Avoir une visibilité de ce qui a été fait pour la protection des données personnelles et de ce qui reste à faire
- Améliorer la sécurité
- Améliorer les procédures internes de l'organisme
Par exemple, le principe de l'accountability impose à l'organisme d'avoir un plan d'action écrit en cas de violation de données, ainsi qu'un registre des violations. En dehors d'un contrôle de la CNIL, ces documents serviront à éviter qu'un incident de sécurité grave se produise et ainsi de minimiser les conséquences d'une violation de données.
Comment respecter le principe d'accountability au sens du RGPD ?
En pratique, l'accountability est un principe transverse du RGPD. Ce n'est pas une obligation spécifique comme lorsqu'on parle de droit à l'information, de conformité des cookies ou bien encore de durée de conservation des données. L'accountability couvre un grand pan de la mise en conformité au RGPD. Comprendre ce principe est essentiel.
Exemple de mesures de conformité pour respecter l'accountability
- Cartographier les traitements de données dans l'organisme sur le registre de traitement
- Faire preuve de transparence en ce qui concerne les traitements de données
- Rédiger une politique de confidentialité
- Des notices d'information à destination des personnes concernées
- Mettre en place un recueil de consentement lorsque vous traitez des informations sur la base du consentement
- Tracer la preuve du recueil du consentement
- Mettre en place une procédure pour savoir répondre aux droits des personnes concernées
- Mettre en place une procédure pour gérer une violation de données
- Sécuriser les traitements de données
- Matérialiser la sécurité à travers une politique de sécurité des systèmes d'information ou bien dans une charte informatique.
Cette liste, évidemment, n'est pas exhaustive. On pourrait aussi y retrouver des codes de conduite, des chartes, des textes qui permettent de protéger les transferts de données en dehors de l'Europe, etc.
Le point commun entre toutes ces obligations est le caractère écrit ; son caractère probatoire pour montrer qu'on peut bel et bien rendre des comptes sur les traitements de données à caractère personnel mis en œuvre dans l'organisme. Il faut s'assurer de tout couvrir via de la documentation qui sera très précieuse en cas de contrôle de la CNIL.
En matière d'organisation, le mieux est de centraliser sa documentation dans un seul et même endroit pour avoir à portée de main la preuve de sa conformité et s'assurer de la capacité de son entreprise à rendre des comptes.
Accountability RGPD et sanctions CNIL
Les organismes vont devoir répondre de leurs obligations devant les autorités de contrôle lorsque les entreprises seront sollicitées. En cas de non respect du principe d'accountability, l'entreprise s'expose à des sanctions RGPD. On a eu quelques décisions de la CNIL qui mettaient en demeure ou condamnaient des organismes parce qu'ils n'étaient pas capables de rendre des comptes quant à leur conformité.
Nous pouvons par exemple rappeler cette mise en demeure contre deux établissements d'enseignement supérieur. Les deux organismes n'ont pas été capables de prouver :
- la conformité des contrats qu'ils avaient passé avec leurs sous traitants,
- un niveau de sécurité suffisant (notamment en ce qui concernait les mots de passe).