Notion centrale du Règlement Général sur la Protection des données, le principe d’accountability regroupe un nombre important de bonnes pratiques destinées à encadrer les traitements de données personnelles dans les entreprises. Tout d’abord, avec une notion difficilement traductible, il est légitime de s’interroger sur ce qu’est l’obligation d’accountability ?
Le principe d’accountability désigne l’obligation pour toutes les entreprises de mettre en œuvre un ensemble de mécanismes et de procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Le fait de « rendre compte », traduction littérale (mais tout aussi vague) de l’accountability, permet aux autorités de vérifier l’efficacité des mesures prises en application du RGPD. Une documentation détaillant l’ensemble des mesures prises dans l’entreprise doit être produite à cet effet.
Pourtant en pratique, l’application du principe peut s’avérer délicate pour les entreprises : le fait d’abandonner la logique antérieure de déclaration préalable au profit d’une logique interne responsabilisante est complexe pour un bon nombre d’entités.
A travers quelques exemples non exhaustifs et pour rendre ce principe plus opérationnel, nous pouvons tenter de comprendre le large panorama d’actions englobés par le principe d’accountability.
En effet, au-delà de la notion transversale érigée par la conformité RGPD, le principe recouvre des obligations pratiques. Pour assurer une prise en compte efficace de cette obligation, la mobilisation de l’ensemble des compétences de l’entreprise est nécessaire (direction, juridique, informatique, direction métier, etc). L’accountability implique ainsi l’obligation pour les organismes de rendre des comptes auprès des clients, des prospects et des fournisseurs notamment mais également auprès de l’autorité de contrôle, en France, la CNIL.
Rendre des comptes implique la production d’une documentation exhaustive et complète des mesures transverses destinées à gouverner la protection de la vie privée afin de démontrer sa conformité à tout moment. Par exemple, démontrer le respect du principe de durée de conservation limitée des données implique la rédaction d’une politique de conservation accompagnée d’un référentiel des durées de conservation. En cas de contrôle, la CNIL s’assurera que les principes et les durées indiquées dans la politique sont effectivement appliquées dans l’entreprise.
Prouver sa conformité implique également d’appliquer les principes de Privacy by design & by default. Mettre en œuvre ces principes participe à démontrer sa conformité à tout moment. Cela passe par exemple par la sécurisation du traitement de données que l’on prouvera notamment par la production de rapports de test sécurité mais aussi par une procédure de gestion de projet rigoureuse accompagnée de fiche/projet permettant de démontrer la prise, dès le commencement du traitement, de la protection des données.
Autre obligation du RGPD, celle de sensibiliser et former le RGPD. Prouver le respect de cette obligation peut impliquer par exemple la fourniture des supports de formation utilisés ainsi que les résultats obtenus aux différents tests effectués par les collaborateurs. Les organismes doivent également établir systématiquement le fondement juridique de chaque traitement à travers les six bases légales possibles. Documenter le fondement légal de chaque traitement permet (i) d’une part de vérifier si le traitement le plus pertinent a été choisi, (ii) et d’autre part de démontrer que l’ensemble des caractéristiques sont remplies afin d’obtenir un fondement légal valable. Par exemple, une entreprise doit être capable de prouver que le consentement a été récolté dans les règles de l’art, avec une information préalable appropriée, un acte positif et spécifique de la personne concernée et la possibilité de le retirer. Un registre des consentements peut être produit à cet effet.
De même avec la délicate notion d’intérêt légitime où des notes de mise en balance entre les intérêts de l’entreprise et les droits et libertés des personnes concernées peuvent être produites. Démontrer que l’intérêt légitime a été mûrement réfléchi, qu’une analyse des risques a été effectivement réalisée permet de sécuriser les traitements fondés sur cette base juridique. Prendre ainsi en compte l’accountability implique donc de responsabiliser son entreprise, d’assurer l’application des principes de protection des données mais surtout d’être capable de démontrer cette conformité à tout moment : les notions de preuve et d’anticipation sont donc fondamentalement liées à celle d’accountability.
Pour allez encore plus loin n’hésitez pas à lire également cet article : loi informatique et liberté
– Laeticia Charles
Télécharger notre Fiche Pratique « Tenue de registre de traitement » pour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.