×

Les points clés de la mise en application du principe d’accountability

Les points clés de la mise en application du principe d’accountability

Le principe d’accountability constitue l’un des principes fondamentaux prônés par le RGPD. Ce principe doit guider l’entreprise dans la réalisation des traitements donnés à caractère personnel. Qu’est-ce que le principe d’accountability et quelles sont les mesures nécessaires pour son respect ?

Accountability : le nouveau principe introduit par le RGPD

Vous le savez certainement, le RGPD contient de nombreuses nouvelles notions (plus d’infos sur https://www.dpms.eu/rgpd). Et parmi elles se trouve le principe d’accountability. Il oblige les entreprises à mettre en place des mesures techniques et organisationnelles efficaces pour assurer la conformité des traitements avec le RGPD. Sa mise en application nécessite la conception d’une véritable gouvernance des données.

Cette gouvernance des données passe par la mise en place d’un processus efficace de mise en conformité. Bien évidemment, cela implique de travailler à partir d’un référentiel RGPD. Ensuite, il faudra concevoir une documentation permettant de prouver la conformité des mesures mises en place avec le RGPD (historique). Enfin, il faudra évaluer régulièrement la performance des mesures prises avec des contrôles continus.

Respecter le principe d’accountability à travers des mesures concrètes

Il va sans dire que le respect du principe d’accountability doit forcément passer la mise en place de mesures concrètes :

Documentation et conception d’une politique « informatique et libertés »

Il est nécessaire de prévoir la mise en place d’une politique « informatiques et libertés ». Pour ce faire, on mettre en place des outils de formation et de sensibilisation ou encore d’un code de conduite à certifier auprès de la CNIL. En plus de cela, il faudra établir une documentation retraçant les politiques de traitements de données de l’entreprise. Concrètement, cela peut se traduire par la rédaction d’une charte d’utilisation des données sous forme de livret ou de guide, des rapports mensuels sur l’organisation « informatique et libertés »…

Privacy by design et Privacy by default

La mise en application des nouveaux concepts introduits par le RGPD, « privacy by design » et « privacy by default », participe au respect du principe d’accountability. La notion de privacy by design oblige les entreprises à prendre en compte la protection des données dès le moment de la conception d’un nouveau produit ou d’un nouveau service. Le but est d’anticiper les nouvelles contraintes imposées par le RGPD. La notion de privacy by default consiste à mettre en place des mesures techniques et organisationnelles efficaces pour garantir que les données nécessaires à la réalisation du traitement seront collectées.

Tenue d’un registre du traitement

En vertu du principe d’accountability, les entreprises doivent répertorier leurs traitements dans un registre d’activité mis à jour régulièrement. Il est tenu sous 2 formes : écrite et électronique. Et surtout, il doit être remis à l’autorité de contrôle si cette dernière en fait la demande. Parmi les informations qui doivent figurer sur le registre, on peut citer : le nom du responsable de traitement, les finalités du traitement, les personnes concernées, la catégorie des données traitées, la durée de conservation des données…

L’étude d’impact

Enfin, la réalisation d’une étude d’impact quand cela s’impose constitue le dernier point important de l’application du principe d’accountability. Une étude d’impact doit toujours être réalisée quand un traitement sera susceptible d’entrainer un risque élevé pour les droits et libertés des personnes. Cette étude aura pour but de démontrer la conformité du traitement avec les nouvelles normes imposées par le RGPD.