Mise en pratique du principe d’accountability par Laetitia Charles

Gestion document

Le principe d’accountability est l’une des principales notions du Règlement Général sur la Protection des Données personnelles. Il rassemble différentes pratiques qui visent à encadrer les opérations de traitement de données à caractère personnel dans les institutions. Comme cette notion est encore assez complexe, il convient de s’intéresser à l’obligation d’accountability.

Définition du principe d’accountability

Le principe d’accountability consiste en l’obligation pour les entreprises de mettre en œuvre des procédures internes et des mécanismes, dans le but d’assurer la mise en conformité rgpd. En effet, le terme « accountability » est traduit littéralement comme le fait de « rendre compte ». Il permet aux autorités de contrôle de s’assurer que les mesures prises en application du règlement européen sont bien efficaces. Pour ce faire, ces mesures doivent être réunies dans une documentation spécifique.

Cependant, dans la pratique, la mise en œuvre de l’accountability demeure complexe pour les institutions. Effectivement, la plupart d’entre elles ont des difficultés à suivre la logique interne responsabilisante et à délaisser la logique de déclaration antérieure. C’est là tout l’intérêt de recourir à un logiciel rgpd pour s’assurer d’appliquer l’accountability dans les règles de l’art.

Le principe se fonde sur :

  • Le respect des délais de conservation des données
  • L’authenticité des données
  • La transparence des opérations de traitements
  • L’actualisation et le perfectionnement des mesures prises en continu

Comment mettre le principe d’accountability en œuvre ?

Les différentes actions incluses dans le principe d’accountability peuvent s’expliquer par des exemples non exhaustifs. Ils permettent aussi de le rendre plus opérant.

Les obligations pratiques

Outre la notion transversale définie par la conformité RGPD, le principe d’accountability comporte aussi des obligations pratiques. Pour le mettre en place de façon efficace, il convient de mobiliser toutes les compétences de l’entreprise, notamment :

  • Les compétences juridiques
  • Les compétences informatiques
  • Les compétences administratives

Cette obligation impose aux entreprises de rendre des comptes à l’autorité de contrôle française, qui est la CNIL, mais également aux fournisseurs, clients et prospects. Il faut noter que le principe d’accountability relève premièrement de l’obligation du responsable de traitement. C’est la personne chargée de mettre en place des procédures et de revoir les règles internes de l’entreprise.

La production d’une documentation intégrale

Toutes les mesures destinées à la gouvernance de la protection de la vie privée doivent être contenues dans une documentation spécifique. Cette dernière permet de démontrer la conformité avec le Règlement européen. Pour prouver par exemple que les délais de conservation des données sont bien respectés, il convient de rédiger une politique de conservation avec un référentiel des durées. Lors des contrôles par la CNIL, elle veillera à ce que ces durées et ces pratiques soient bien mises en œuvre dans l’établissement.

La mise en œuvre du Privacy by design & by default

Cette pratique permet également de démontrer la conformité RGPD. Elle se traduit par exemple par la sécurisation du traitement de données personnelles, qui sera démontrée par un procédé de gestion de projet drastique et des rapports de test de sécurité. A cela s’ajoute une fiche pour prouver la prise en considération de la protection des données depuis le début. Cette pratique s’applique également dans le cadre de recherche scientifique.

La sensibilisation et la formation au RGPD

Pour démontrer l’application du principe d’accountability, il peut également être utile de fournir les supports de formation utilisés et les résultats obtenus lors des tests réalisés par les collaborateurs. En outre, les institutions ont pour obligation d’établir le fondement juridique de chaque traitement de façon systématique et cela, via les 6 bases légales possibles.

Cela permet d’un côté de s’assurer que le traitement choisi est le plus adéquat et de l’autre que toutes les caractéristiques sont remplies pour avoir un fondement légal valable. Une entreprise doit par exemple être en mesure de démontrer que le consentement des personnes concernées a bien été recueilli. Cela implique une information préalable et un retour positif et spécifique des personnes en question. Pour ce faire, un registre des traitements de données doit être rédigé.

Conclusion

Il est possible de produire des notes de mise en balance entre les droits et libertés des personnes concernées et les intérêts de l’institution via le principe d’intérêt légitime. Les traitements fondés sur la base juridique sont sécurisés si l’intérêt légitime a bien été réfléchi et qu’une étude des risques a été effectuée.

La prise en compte du principe d’accountability permet de :

  • Responsabiliser une entité
  • Assurer la mise en œuvre des principes de sécurisation des données
  • Prouver la conformité en tout temps