En matière de RGPD, vous entendez souvent parler du principe d’accountability. Ce terme peut paraître complexe, c’est une notion qui semble plutôt vague… L’accountability se traduit littéralement en français par la responsabilité, autrement dit c’est le fait de rendre des comptes.
Mais que signifie l’accountability au sens du Règlement Général sur la Protection des Données (RGPD) ? ?
Asseyez-vous confortablement avec votre thé et on vous explique tout en 5 min ! ☕️
La réponse au sondage « Le principe d’accountability vise-t-il à responsabiliser les acteurs du traitement de données ? ? »
Pour introduire le sujet, nous vous avons proposé un sondage, le 8 mars dernier sur notre page LinkedIn, en vous demandant si le principe d’accountability vise à responsabiliser les acteurs du traitement de données Bien joué ! Sur 109 votants, 97 % d’entre vous ont « Oui ✅ ». En effet, ce principe permet de responsabiliser les acteurs du traitement de données.
Comprendre le principe d’accountability
D’après le RGPD, le principe d’accountability oblige les acteurs du traitement de données :
- À mettre en œuvre toutes les mesures nécessaires pour assurer leur conformité,
- Et démontrer que ces mesures sont effectives.
Pour cela, il faut conserver et mettre à jour toute sa documentation. Elle constitue les preuves des efforts engagés pour assurer la conformité.
Ce principe modifie la logique de contrôle a priori qui existait en France sous la Loi informatique et libertés (antérieure au RGPD). Selon cette logique, les entreprises devaient déclarer leurs traitements au préalable et l’autorité de contrôle les valide avant qu’ils soient mis en œuvre (il existait un système de dispenses pour les traitements les plus courants). Désormais, les démarches d’autorisations préalables ont quasiment disparu pour faire place à un système de contrôle a posteriori. Le RGPD laisse au Responsable de traitements une grande liberté dans la manière de mettre en œuvre sa conformité. En contrepartie, il doit être en capacité, notamment en cas de contrôle, de justifier et de démontrer la pertinence et l’efficacité de ses choix. ?
Quelles sont les mesures à mettre en œuvre pour respecter le principe d’accountability ?
La conformité au RGPD nécessite que des mesures soient adoptées et respectées au sein des entreprises. Ces mesures doivent être proportionnées :
- À la réalité de votre entreprise (sa taille, les moyens humains et financiers dont vous disposez, votre niveau de maturité, etc.),
- Ainsi qu’aux risques que représentent le traitement de données vis-à-vis des droits et libertés des personnes.
Comme expliqué précédemment, l’accountability suppose non seulement que ces mesures soient adoptées mais aussi que leur mise en application soit documentée et effective. Parmi ces mesures vous trouverez :
1. La création de politiques relatives à la protection de données personnelles ?
C’est-à-dire poser à l’écrit toutes les obligations et les procédures que les acteurs du traitement doivent respecter pour protéger les données des personnes. Il peut s’agir d’une politique interne de protection des données personnelles ou d’une politique de conservation des données par exemple. Ces politiques garantissent une application homogène des règles de protection des données personnelles, en fournissant des instructions aux acteurs du traitement.
2. Le respect du Privacy by design et Privacy by default ??
Il s’agit d’un principe du RGPD selon lequel les organisations ont l’obligation :
- De prendre en compte la protection des données personnelles dès la conception d’un nouveau traitement,
- Et d’appliquer le plus haut niveau de protection des données par défaut.
Pour en savoir plus, vous pouvez voir notre article : « RGPD : Comment mettre en œuvre le privacy by default et privacy by design ? ». Les mesures prises pour respecter ce principe doivent être documentées.
3. La mise en œuvre des mesures de sécurité appropriées ?
Le RGPD indique que des « mesures techniques et organisationnelles sont essentielles pour gérer les risques ». Pour en savoir plus sur cette mesure, vous pouvez lire notre article sur le principe de sécurité : « RGPD : tout comprendre sur le principe de sécurité ». Pour référencer ces mesures, en cas de contrôle mais aussi pour votre utilisation interne, vous pouvez créer une politique de sécurité des données personnelles.
4. L’enregistrement et la notification des violations de données ?♂️
Il est fortement recommandé de tenir un registre des incidents de sécurité. En parallèle, vous devez évaluer la gravité de l’incident et déterminer si :
- La simple mention dans votre registre d’incidents suffit,
- La gravité de la violation nécessite que la CNIL soit avertie (dans un délai de 72h après avoir pris connaissance de la violation de données),
- La violation est d’une telle gravité que les personnes concernées doivent être prévenues, ainsi que la CNIL.
Consultez notre article pour en savoir plus sur les violations de données : ?
https://www.mission-rgpd.com/violation-de-donnees-et-rgpd/
5. La réalisation d’analyses d’impact sur la protection des données ?
L’analyse d’impact (ou PIA ou encore AIPD) est un processus qui aide les organisations à identifier et mesurer les risques que représentent le traitement de données personnelles, afin de les anticiper et de les réduire. Cette analyse doit être réalisée chaque fois que le traitement de données est susceptible d’entraîner un risque élevé pour les droites et libertés des personnes. Pour en savoir plus, vous pouvez lire notre article : « Comment réaliser un PIA ? Les points essentiels ». L’analyse d’impact permet de démontrer que vous êtes soucieux de l’impact du traitement de données sur les droits et libertés des personnes. Ce document pourra être présenté lors d’un contrôle de la CNIL.
Un exemple de sanction fondée en partie sur le non-respect du principe d’accountability ?
Le 2 mai 2021 Datatilsynet (l’équivalent de la CNIL en Norvège) a prononcé une amende préliminaire de 2,5 millions d’euros à la société américaine Disqus Inc. L’autorité de contrôle norvégienne s’est fondée sur les manquements suivants : non-respect du principe d’accountability, de licéité des traitements et de transparence.
Disqus est un plug-in utilisé par plusieurs journaux en ligne norvégiens. Il permet aux lecteurs de laisser des commentaires publics sous les articles publiés et fournit des outils de modération pour les éditeurs en ligne. La société utilise des cookies pour tracer les utilisateurs naviguant sur les sites concernés et revend ces données à des partenaires publicitaires ainsi qu’à sa société mère. L’autorité de contrôle conclu que Disqus opère un traitement illégal de suivi des utilisateurs et de profilage à des fins publicitaire. D’autre part les utilisateurs des sites internet ne sont pas informés de ce traitement de données.
La société mise en cause s’est défendue en mentionnant qu’elle ignore que le RGPD s’applicable en Norvège et pour ses activités. Après avoir statué sur l’application territoriale et matérielle du RGPD, Datatilsynet relève que les entreprises doivent avant tout considérer l’applicabilité du Règlement à leurs traitements. Elle conclut que l’obligation générale d’accountability n’a pas été respectée par Disqus qui n’a pas documenter son processus de réflexion en la matière.
Comment faire concrètement ?
Ce principe n’est toujours pas clair pour vous ? Vous ne savez pas par où commencer ? Vous manquez de temps ?
✅ Mission RGPD vous permet de garantir le principe d’accountability en maintenant une traçabilité et un historique dans le temps de l’ensemble des processus de conformité RGPD. Vous concentrez à un seul endroit tout ce dont vous avez besoin. Vous pouvez déposer en pièce joint tous les documents justificatifs nécessaires, utilisez nos modèles et notre espace documentaire pour constituer votre propre documentation à partager à vos collaborateur.
Soyez ainsi certain de toujours avoir à disposition les documents nécessaires pour prouver votre conformité.
Avec Mission RGPD, vous pourrez vous mettre en conformité simplement et la gérer en toute sérénité. La sécurité de vos traitements ne sera plus un problème.
Ne perdez plus de temps, c’est si simple !