Suite à l’application du Rgpd, centré particulièrement sur la protection des données personnelles, de nouveaux procédés ont été imposés. Ces multiples actions ont été initiées pour pouvoir contrôler au mieux les traitements des informations sensibles. En effet, selon les normes sur les droits et libertés inscrits dans la loi informatique et libertés, ces données sont singulièrement à risque. Et ce, en raison des conséquences de leur impact sur la vie de l’individu concerné. De ce fait, le principe d’accountability a été lancé par les États européens pour maîtriser au maximum la manipulation de ces données à caractère personnel.
Les caractéristiques du principe d’accountability
A la base, il est important de savoir que l’accountability fait partie des bonnes pratiques visant à mettre en conformité les entreprises et les institutions publiques. De cette manière, ces entités seront particulièrement encadrées par rapport au traitement des données à caractère personnel collectées.
Définition du principe d’accountability
Selon la Commission Nationale de l’Informatique et Libertés ou CNIL, il s’agit de : « l’obligation de mettre en pratique des procédures internes et des mécanismes dans l’objectif de démontrer le respect des règles liées à la protection des données ». En se basant sur l’article n° 5 du Rgpd, ce principe se traduit par une obligation de conformité. Autrement dit, lorsque le délégué à la protection des données effectue un contrôle, votre entreprise devrait être en mesure de fournir des preuves tangibles relatives au respect des exigences du RGPD.
Aspect pratique du principe d’accountability
Dans la pratique, l’accountability est devenu un outil indispensable pour les entreprises. En effet, avant l’arrivée du nouveau RGPD, les entités étaient obligées de faire une déclaration sur leurs collectes et leurs traitements de données auprès de la CNIL.
Depuis, l’application de ce principe leur permet de faire de l’autocontrôle avec le concours des agents du Dpo et d’un ou des responsables du traitement au sein de l’organisation. De ce fait, l’État peut vérifier à tout moment la mise en conformité de votre entreprise et l’efficacité des techniques adoptées.
Par conséquent, le responsable de traitement est obligé d’assurer en continu la conformité de la manipulation des données à caractère personnel. Pour ce faire, il doit garantir la finalité du traitement et réaliser une analyse d’impact, en vue de la protection de ces informations personnelles. Autrement, il a également la charge de tenir un registre des traitements de données personnelles en guise de preuve lors des contrôles de la CNIL.
Les attentes du principe d’un accountability
Afin de réussir votre mise en conformité, quelques modalités sont essentielles en application du principe d’accountability.
- Pour une cohérence dans le traitement des données personnelles, le responsable doit établir différents registres (traitements, sous-traitance, violation des données…)
- Pour optimiser la protection des données à caractère personnel, l’individu qui traite les données doit connaître leur finalité, afin de délimiter les informations requises.
- Pour appuyer l’exigence relative à la protection des renseignements sensibles, vous devez respecter la durée de conservation des données.
- Pour écarter toute utilisation hors contexte des renseignements, vous devez prendre des dispositifs sur le respect de la loi informatique et libertés.
Les sanctions en cas de non-conformité
Comme le principe d’accountability fait partie des exigences du RGPD, la non-conformité sur le traitement de données à caractère personnel peut avoir de lourdes conséquences. En effet, les entreprises peuvent se voir infliger des sanctions relativement graves. Selon les circonstances, l’entité peut écoper d’un simple avertissement. Autrement, l’organisation est passible d’une peine plus poussée allant jusqu’à une amende de 20 millions d’euros ou l’équivalent de 4 % de son chiffre d‘affaires.
Le principe d’accountability est essentiel, afin de pouvoir disposer de preuve lors des contrôles de la CNIL. De ce fait, chaque entité chargée du traitement de données à caractère personnel doit mettre en place des techniques effectives en conséquence. En effet, en cas de non-conformité, ces organisations peuvent essuyer des sanctions pécuniaires de la part de l’autorité de contrôle européen.