L’entrée en vigueur du RGPD a obligé les acteurs concernés à mettre en place certaines mesures de sécurité de façon à garantir la protection de la vie privée des utilisateurs. Afin de s’assurer de la mise en conformité des entreprises avec ce règlement, une mesure est prévue par ce texte : l’accountability. Ce principe a pour objectif d’obliger les entreprises et organismes publics à mettre en place les procédures adaptées de façon à garantir une transparence totale dans leur collecte et traitement des données. Pour bien comprendre ce principe, nous faisons le point sur les obligations de l’accountability et l’intérêt de cette mesure.
Accountability : définition
Selon la Commission Nationale de l’Informatique et des Libertés en France, l’accountability se définie comme suit : “L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données”.
Cette obligation de rendre compte permet ainsi de s’assurer de l’efficacité des mesures à la fois techniques et organisationnelles mises en œuvre par le Responsable de traitement. Afin de garantir un traitement conforme des données, il est important que les mesures d’accountability soient révisées et mises à jour régulièrement. La mise en place de ce principe fait partie du rôle du responsable de traitement.
Le principe d’accountability permet également aux instances de contrôle propres à chaque pays membres de l’UE de vérifier par exemple le bon respect des règles de sécurité par les entreprises et organismes publics. La traçabilité et la transparence des mesures mises en œuvres grâce au principe d’accountability sont des points essentiels pour garantir la protection des utilisateurs.
Qui est concerné ?
Principe fondamental du RGPD, la mise en œuvre de l’accountability fait partie du rôle attribué au responsable du traitement, conformément à l’article 5 du RGPD. La garantie de la mise en place des mesures adéquates pour la protection des données est un point essentiel pour assurer la conformité de l’entreprise ou de l’organisme public aux règles de ce texte européen.
Quelles sont les mesures à mettre en place ?
Les principes de l’accountability
Les mesures essentielles permettant de démontrer le respect des règles relatives à la protection des données sont notamment:
- Réduction de la quantité et du type de données collectées
- Traitement des données nécessaires selon les objectifs
- Transparence du traitement des données
- Sécurisation du processus de collecte et de traitement
- Pseudonymisation des données
- Respect des délais de conservation
- Dispositions pour garantir l’exercice des droits des utilisateurs
- Nomination d’un responsable de traitement
- Tenue de registres
- Encadrement des traitements réalisés par les sous-traitants
- Évaluation régulière du niveau de protection des données
- Formation et sensibilisation du personnel au RGPD
Quels sont les objectifs ?
Le principe d’accountability a pour objectif principal de prouver la mise en place des mesures adéquates de la part des entreprises et organismes publics pour être en conformité avec le cadre posé par le RGPD. Afin de respecter ces nouvelles obligations, il est nécessaire que les acteurs concernés soient parfaitement rigoureux et qu’ils puissent justifier leur conformité par une documentation fournie et précise.
L’adoption du RGPD à l’échelle européenne s’est donc fait dans l’objectif de responsabiliser les entreprises et les organismes publics. En effet, face aux différents scandales et fuites de données mis au jour ses dernières années, les gouvernements ont donc pris des mesures adaptées de façon à protéger la vie privée des utilisateurs.
Quelles sanctions en cas de non-respect ?
Dans le cas où un organisme concerné par le RGPD ne met pas en place les mesures adéquates pour garantir la protection des données personnelles, les risques encourus sont importants. En effet, les organismes de contrôle des 28 pays ayant adopté ce règlement peuvent prononcer des sanctions administratives et pécuniaires conséquentes :
- Amende jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel pour une entreprise
- Rappel à l’ordre
- Limite temporaire ou définitive de traitement des données
- Obligation de mise en conformité
Rendues publiques, ces sanctions peuvent avoir de lourdes conséquences pour l’organisme sanctionné. La mise en place des mesures adaptées pour garantir le principe d’accountability apparaît donc comme une priorité pour les acteurs concernés par le RGPD.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!