Skip to content

Le principe d’accountability RGPD

Le principe d’accountability RGPD

L’accountability RGPD est une notion que tout gérant d’entreprise doit maîtriser. Elle est basée sur :

  • La transparence des traitements ;
  • L’exactitude des données ;
  • Le respect des délais de conservation ;
  • La mise à jour et l’amélioration continue des mesures prises.

Signifiant « responsabilité » en français, elle désigne l’obligation de mettre en œuvre des procédures et mécanismes internes donnant la possibilité de démontrer le respect des règles liées à la protection des données qu’une organisation utilise ou stocke. Leur non-respect peut mettre en difficulté une société et mener à des sanctions.

Qu’est-ce que l’accountability RGPD ?

Elle désigne le fait de documenter sa conformité en mettant des procédures adaptées en place, afin de garantir une transparence dans le traitement et la collecte de données, mais surtout pour améliorer la protection de ces dernières. Son objectif est de responsabiliser les entreprises et de permettre aux autorités européennes de vérifier l’efficacité des dispositions prises en l’appliquant. Les risques doivent être identifiés par la mise en place de plans d’actions et de procédures de contrôle.

Qui est concerné par l’accountability RGPD ?

Tout d’abord, il est bon de noter que cette obligation revient au responsable du traitement. Il est tenu de :

  • Revoir toutes les règles internes de l’entreprise ;
  • Mettre en place des mesures permettant de mieux protéger les données personnelles.

La mise en place des nouvelles règles doit permettre de démontrer facilement le respect du RGPD. Les organisations doivent pouvoir prouver sans difficulté qu’elles ont procédé à une identification, une évaluation et un encadrement des risques en matière de protection de données personnelles.

Toute entreprise ayant élu résidence dans l’UE et qui utilise des données personnelles est concernée.

Quels sont les objectifs de l’accountability RGPD ?

Ses trois principaux objectifs sont de :

  • Responsabiliser l’entreprise ;
  • Prendre des mesures pour se conformer au règlement général sur la protection des données ;
  • Prouver que les mesures organisationnelles et techniques prises sont appropriées.

Diverses procédures sont à mettre en place pour réaliser ce dernier objectif. Parmi celles-ci, on retrouve celles :

  • Relative au traitement des demandes clients pour faire jouer leurs droits ;
  • Relative à la notification des violations des informations personnelles ;
  • Pour mener une analyse d’impact ;
  • Assurant le respect du principe de minimisation des données.

Par ailleurs, l’accountability RGPD a pour but de :

  • Effectuer une analyse des risques ;
  • Appliquer les principes de protection des données pour sécuriser leur traitement ;
  • Produire une documentation exhaustive des mesures prises ;
  • Former et sensibiliser les entreprises au RGPD.

Au cours de chaque traitement, l’entreprise devra alors s’interroger sur :

  • Sa finalité qui doit être à la fois légitime et explicite ;
  • Le principe de minimisation et la durée de conservation des données ;
  • La collecte d’informations sensibles.

Quelles sont les sanctions appliquées en cas de non-respect des normes ?

L’accountability RGPD contraint les entreprises à rendre des comptes auprès de la CNIL, autorité de contrôle en France. Le non-respect des normes, surtout le manquement aux droits des personnes, peut entraîner de lourdes sanctions.

Si les mesures adéquates ne sont pas mises en place pour assurer la protection des données personnelles, l’entreprise peut être sanctionnée d’une amende, de 20 millions d’euros à 4 % du chiffre d’affaires annuel mondial.

Toutefois, les autorités de contrôle appliquent parfois des sanctions administratives conséquentes et dissuasives. Elles peuvent :

  • Imposer l’obligation de conformité ;
  • Réaliser un rappel à l’ordre ;
  • Limiter définitivement ou temporairement le traitement des données.

Il est tout aussi important de savoir que de telles mesures répressives peuvent également avoir de graves conséquences sur l’image de l’entreprise concernée. En effet, elles peuvent faire l’objet d’une publication.

Afin de ne pas subir ces sanctions, une entreprise doit, au besoin, revoir sa politique de confidentialité. Il faut également qu’elle fasse systématiquement un inventaire des traitements. Parmi les mesures à mettre en œuvre, on distingue également la sécurisation du processus de collecte de données.

Rappel : que faut-il savoir sur le RGPD ?

Adopté en 2016, le RGPD est un règlement de l’Union européenne qui renforce la protection des données. Ses dispositions sont applicables depuis l’année 2018. Il contient des principes clés, dont :

  • Le consentement explicite et positif ;
  • Le droit à l’effacement.

Parmi ses principaux objectifs figurent :

  • La protection des personnes concernées par un traitement de leurs informations à caractère personnel ;
  • La responsabilisation des intervenants dans ce traitement.

Il convient de savoir que le non-respect du RGPD peut entraîner le versement de dommages et intérêts, des sanctions administratives, voire pénales.

FAQ

Qui est le responsable de traitement RGPD ?

En règle générale, c’est l’organisation, la personne ou l’autorité publique qui décide de la création du fichier de données personnelles et qui en détermine les finalités et les moyens. Souvent, il s’agit de la personne morale (collectivité ou entreprise par exemple). L’obligation de respecter les normes lui incombe.

Qu’est-ce qu’un DPO RGPD ?

Il s’agit du délégué à la protection des données qui a pour rôle de conseiller et d’accompagner les organismes dans le pilotage de leur conformité RGPD. La CNIL recommande fortement la désignation d’un DPO. Il faut surtout mettre en œuvre cette procédure quand le traitement d’informations à caractère personnel est réalisé par un organisme public.

Qui est concerné par le RGPD ?

Toute entreprise ayant élu domicile dans l’Union européenne et qui conserve des données personnelles est concernée. Toutes les activités qui ciblent un citoyen européen sont soumises à ce règlement, même si les informations sont utilisées en dehors du territoire européen.

Pourquoi le RGPD a-t-il été mis en place ?

Le RGPD a été mis en place pour diverses raisons. Il a alors plusieurs objectifs parmi lesquels on peut citer :

● La consolidation des droits des personnes ;

● La responsabilisation des acteurs chargés du traitement des données personnelles.

Quelles autorités assurent la protection des données personnelles en France ?

Chaque État membre de l’UE est doté d’une autorité nationale de protection des données personnelles, dont les missions sont identiques. En France, il s’agit de la CNIL ou la Commission nationale de l’informatique et des libertés qui a été créée en 1978. C’est donc auprès de cette institution que les entreprises doivent rendre des comptes. Elle peut les contrôler et les sanctionner au cas où elles ne respecteraient pas le RGPD.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments