Skip to content

Le principe d’accountability RGPD

Le principe d’accountability RGPD

L’accountability posée par le Règlement Général sur la Protection des Données (RGPD est une notion que tout gérant d’entreprise doit maîtriser.

Signifiant « responsabilité » en français, elle désigne l’obligation de mettre en œuvre des procédures et mécanismes internes donnant la possibilité de démontrer le respect des règles liées à la protection des données. Leur non-respect peut mettre en difficulté une société et mener à des sanctions.

Qu’est-ce que l’accountability RGPD ?

L’accountability est une notion introduite par le RGPD, entré en vigueur en 2018. Celui-ci a principalement pour but de responsabiliser l’ensemble des acteurs concernés par le traitement des données personnelles. Ainsi, l’accountability poursuit plusieurs objectifs.

La définition de l’accountability selon le RGPD

L’article 5 du RGPD, dans son alinéa premier, pose les conditions dans lesquelles les données à caractère personnel doivent être collectées. Ainsi, il impose par exemple une licéité du traitement des données ou une minimisation des données.

Puis, il pose également le principe d’accountability des responsables des traitements. En effet, le second alinéa dispose que ceux-ci sont responsables du respect des conditions imposées au sein de l’alinéa premier. Ils doivent également prouver que ces mesures ont été prises en les documentant.

Ainsi, les organismes doivent mettre en œuvre et actualiser des mesures afin de garantir à tout moment le respect des principes posés par le RGPD. Pour cela, ils doivent respecter deux principes centraux :

  • principe de privacy by design : l’entreprise doit intégrer la protection des données à caractère personnel, dès la conception de projets rattachés au traitement des données d’une entreprise.
  • principe de privacy by default : une fois qu’un produit ou un service a été communiqué au public, les standards de protection des données personnelles devront être appliqués par défaut.
A noter : L’accountability s’inscrit dans une vision dynamique et globale. En effet, une réévaluation des mesures doit être réalisée régulièrement. Elle doit également mobiliser l’ensemble des acteurs de l’organisme.

Les personnes concernées par l’accountability RGPD

Il est parfois difficile d’identifier qui est concerné par le RGPD. Il est ainsi bon de noter que cette obligation revient au responsable du traitement.

En effet, celui-ci est tenu de :

  • Revoir toutes les règles internes de l’entreprise ;
  • Mettre en place des mesures permettant de mieux protéger les données personnelles.

La mise en place des nouvelles règles doit permettre de démontrer facilement le respect du RGPD. Les organisations doivent donc pouvoir prouver sans difficulté qu’elles ont procédé à une identification, une évaluation et un encadrement des risques en matière de protection de données personnelles.

Bon à savoir : Tous les organismes privés ou publics amenés à traiter des données personnelles sont concernés par le RGPD. Ils peuvent être établis dans l’UE ou cibler des personnes résidant au sein de l’UE.

Les objectifs de l’accountability RGPD

L’accountability s’inscrit dans la volonté du RGPD de responsabiliser les organismes et d’offrir une meilleure transparence aux personnes dont les données sont collectées.

Ainsi, l’accountability selon le RGPD a pour but de :

Les responsables de traitement sont donc dans l’obligation permanente de s’interroger sur la conformité de leurs traitements. Ils peuvent alors actualiser les mesures quand ils le jugent nécessaire.

Par ailleurs, l’accountability RGPD a pour but de :

  • Effectuer une analyse des risques ;
  • Appliquer les principes de protection des données pour sécuriser leur traitement ;
  • Produire une documentation exhaustive des mesures prises ;
  • Effectuer une formation au RGPD aux entreprises.

Comment appliquer le principe d’accountability mis en place par le RGPD ?

Le principe d’accountability repose principalement sur la documentation effectuée par l’entreprise. En effet, celle-ci doit impérativement documenter les mesures prises pour la protection des données personnelles. Ainsi, elle dispose de plusieurs outils dont certains sont obligatoires.

Les outils obligatoires

Les outils obligatoires sont des outils que les entreprises sont dans l’obligation de mettre en place. En effet, ceux-ci permettent une documentation effective des mesures mises en place pour la protection des données personnelles.

Ainsi, les entreprises doivent instaurer :

  • un registre des activités de traitement
  • la nomination d’un délégué à la protection des données (DPO)
  • une analyse d’impact
  • une notification de violation des données
Bon à savoir : la nomination d’un DPO ainsi que l’analyse d’impact sont obligatoires que sous certaines conditions prévues par le RGPD.

La tenue d’un registre de traitement est particulièrement importante car elle permet de recenser les traitements de données personnelles. Il permet ainsi de disposer d’une vue d’ensemble sur ce qui est fait des données personnelles au sein de l’entreprise.

A noter : le registre de traitement doit pouvoir être communiqué à la CNIL lorsqu’elle le demande.

Les outils recommandés

La CNIL recommande également des outils afin de mettre en place une politique d’accountability au sein d’une entreprise. Ainsi, elle conseille aux entreprises de disposer de :

  • une certification : atteste la conformité d’un produit, d’un processus ou d’un service à un référentiel d’exigences
  • un code de conduite : permet d’aider les professionnels d’un secteur spécifique à se mettre en conformité
  • règles d’entreprises contraignantes
A noter : le code de conduite est juridiquement contraignant pour les professionnels du secteur qui auront choisi d’y adhérer.

Quelles sont les sanctions appliquées en cas de non-respect des normes ?

L’accountability RGPD contraint les entreprises à rendre des comptes auprès de la CNIL, autorité de contrôle en France. Le non-respect des normes, surtout le manquement aux droits des personnes, peut entraîner de lourdes sanctions.

En effet, si les mesures adéquates ne sont pas mises en place pour assurer la protection des données personnelles, l’entreprise peut être sanctionnée d’une amende. Celle-ci peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Toutefois, les autorités de contrôle appliquent parfois des sanctions administratives conséquentes et dissuasives. Elles peuvent :

  • Imposer l’obligation de conformité ;
  • Réaliser un rappel à l’ordre ;
  • Limiter définitivement ou temporairement le traitement des données.
Attention : ces mesures répressives peuvent également avoir de graves conséquences sur l’image de l’entreprise concernée. En effet, elles peuvent faire l’objet d’une publication.

Afin de ne pas subir ces sanctions, une entreprise doit, au besoin, revoir sa politique de confidentialité. Il faut également qu’elle fasse systématiquement un inventaire des traitements.

FAQ

Qu’est-ce que l’accountability RGPD ?

L’accountability RGPD signifie la responsabilisation des entreprises traitant des données personnelles. En effet, celles-ci sont dans l’obligation de mettre en place des mesures pour garantir le respect des principes du RGPD. Elles doivent également être en mesure de prouver l’existence et l’application de ces mesures.

Comment mettre en place des mesures respectant l’accountability ?

Afin de mettre en place des mesures respectant l’accountability, les organismes doivent respecter les principes de privacy by design et de privacy by default. Ils doivent également mettre en place des outils permettant une documentation tels qu’un registre des activités de traitement.

Qui est responsable de la protection des données personnelles ?

Selon l’article 5 du RGPD, les responsables de traitement ont la responsabilité de respecter les conditions imposées pour respecter la protection des données personnelles. Ainsi, tout organisme, public ou privé, concerné par le traitement de données est responsable de la protection de celles-ci.

Obtenir un devis RGPDObtenir un devis RGPD

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L’ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Dernière mise à jour le 02/07/2021

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments