Le principe d’Accountability rgpd, nous vient de l’approche par les risques du règlement générale sur le traitement des données. Signifiant « responsabilité », il permet de responsabiliser les acteurs concernés, lors de traitement des données personnelles. La mission est de documenter la conformité de l’entreprise en termes de protection des données et de respect des droits et libertés des personnes physiques concernées.
L’Accountability rgpd : Pour prouver sa conformité par rapport à la protection des données
Toute entreprise doit démontrer, qu’elle a identifié, évalué et surtout encadré, tous les risques en termes de protection des données à caractère personnel et leur conformité au RGPD. Sur le papier, établir une gouvernance de la sorte, se traduit par une cartographie légale du système d’information, et surtout des données à caractère personnel utilisées et gardées par l’entreprise. Elle doit pouvoir identifier les risques et surtout s’en protéger, par le biais de procédures, de plans d’actions et de contrôles. Ces démarches sont indispensables afin de garantir le respect des droits des personnes et pour mettre en place une stratégie pérenne.
Ce que doit comprendre l’Accountability RGPD
Une entreprise qui traite les données personnelles d’un individu doit tenir une documentation précise de mise en conformité, contenant :
- Une politique exhaustive relative à la protection des données ;
- Un registre des traitements ou la nomination du DPO, le cas échéant ;
- Des procédures permettant de prouver que l’entreprise respecte toutes les dispositions du RGPD : procédure sur le traitement des demandes des clients pour faire jouer leurs droits, procédure pour mettre en place une analyse d’impact ou le transfert des données personnelles, procédure de notification des violations de données ou encore procédure assurant le respect du principe de privacy by design.
Ce que doit l’entreprise doit faire en amont de tout traitement de données
Lors de chaque traitement de données personnelles, l’entreprise, assistée du DPO et du responsable du traitement, doit s’interroger sur les points suivants afin de mener à bien ses missions :
- La finalité du traitement qui doit être annoncée clairement dans le document ;
- La collecte des données personnelles adaptées et nécessaires pour arriver à la finalité (c’est ce que l’on appelle le principe de minimisation) ;
- La durée de conservation des données ;
- La présence de données sensibles (si tel est le cas, il faut impérativement le mentionner dans le principe d’accountability rgpd) ;
- La sécurité des données, en mettant en place des mesures adéquates pour protéger les données d’autrui ;
- Le respect des droits des personnes sur le traitement de leurs données et leurs différents droits (droit d’accès, droit à l’oubli et à l’effacement, droit de rectification…).
Le RGPD : une loi informatique importante dans toute l’UE
Le RGPD est entré en vigueur le 25 mai 2018, et fait suite à la loi informatique et libertés. En France plus précisément, c’est la cnil qui est en est l’autorité de contrôle.
Ce règlement permet d’encadrer les traitements de données personnelles sur le sol européen. Le but étant de créer un cadre juridique unifié, afin de faire face à tous les enjeux et les problématiques des traitements de données à caractère personnel.
Afin de mettre en conformité les entreprises et pour assurer la protection des données personnelles ainsi que les libertés de chacun, elles doivent :
- Désigner un DPO (délégué à la protection des données) ainsi que des responsables de traitement pour s’assurer de la mise en conformité ;
- Constituer un registre de traitements de données à caractère personnel ;
- Repérer tout traitement de données à caractère personnel à risque ;
- Respecter le droit des personnes ;
- Sécuriser les données personnelles et fait une analyse d’impact ;
- S’assurer, dans le cadre d’une sous-traitance, que le prestataire a connaissance de la loi informatique et libertés et du RGPD.