BLOG AIDE
    S'inscrire ou Se connecter

    Accountability : quelles sont ses principales mesures ?

    Gestion d'entreprise
    Captain Contrat
    LE
    4min

    Au sens du Règlement Général de Protection des Données, l’accountability est la mise en conformité d’une société par rapport au RGPD, par elle-même, dans une logique de responsabilisation.
    Dans cette même logique, l’accountability s’accompagne de mesures permettant de montrer la réalité de la protection des données. Il est important de noter ces 2 aspects de l’accountability : la mise en œuvre responsable du RGPD et le « rendre compte ».

    Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups


    L'accountability : quelles mesures ?

    Pour information, le RGPD a redéfini que les données « personnelles » sont les données permettant d’identifier une personne : « est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

    Rappelons ensuite le champ d’application matériel du RGPD (articles 2 et 4 de la directive).

    • Sont concernés les traitements automatisés de données à caractère personnel, ainsi que les traitements non automatisés de données à caractère personnel qui sont déjà ou susceptibles d’être dans des fichiers (sauf si les traitements sont effectués dans le cadre d’activités exclusivement personnelles) avec comme corollaire que ces données soient récoltées et traitées dans les conditions générales permises par la loi (notamment avec une finalité déterminée, explicite et légitime).
    • Ne sont pas concernées les copies temporaires de fichiers, faites par exemple dans le cadre d’activités techniques de fourniture d’accès, migration, transmission dans le but de stockage, sauvegarde automatique ou intermédiaire ou transitoire.

    Dans ce cadre, le RGPD impose aux entreprises et organismes qui manipulent de manière importante des données, d’adapter leur fonctionnement afin de garantir (et de pouvoir montrer –« rendre des comptes » si on traduit littéralement le terme), que leurs traitements des données à caractère personnel respectent la loi.

    Concrètement, l’obligation d’accountability incite (et oblige dans certains cas) à désigner un délégué à la protection des données (DPO) mais force surtout les personnes en charge du traitement des données à :

    • Garder une trace documentaire de tout traitement effectué sous la responsabilité du responsable du traitement ou du sous-traitant
    • Analyser les conséquences concrètes des traitements de données présentant des risques particuliers au regard des droits et libertés des personnes concernées
    • Adopter l’approche « Privacy by design » , à savoir prendre en compte la protection des données dès la conception d’un projet et durant son fonctionnement

    Le responsable de traitement doit pouvoir prouver qu’il respecte bien toutes les obligations en matière de protection des données à caractère personnel et que toutes les mesures idoines ont été prises afin de protéger efficacement les données collectées.

    Ceci implique donc très concrètement de :

    • Réduire la quantité et le type de données collectées et traitées au minimum nécessaire aux objectifs affichés
    • Rendre transparents les traitements tout en les sécurisant tout au long de la chaine (et en vérifiant régulièrement la sécurité)
    • Pseudonymiser les données et vérifier les délais de conservation
    • Permettre aux personnes concernées d’exercer leurs droits de modification et suppression
    • Avoir un responsable de la mise en place du RGPD (au besoin un DPO)
    • Tenir des registres listant les traitements, les mesures prises (dans certains ces registres sont obligatoires)
    • Revoir les contrats avec les sous-traitants en contact avec les données et les encadrer
    • Faire régulièrement des audits des traitements de données et de se tenir informés des évolutions de la règlementation

    En résumé, le RGPD veut responsabiliser les entreprises collectant et traitant des données à caractère personnel, avec des actes et procédures concrètes à mettre en place et la suppression des obligations déclaratives ou autres formalités administratives qui avaient cours jusqu’à présent.

    Facilitez la transition de votre entreprise au RGPD Je découvre  l'accompagnement RGPD

    Donnez votre avis
      ARTICLES SIMILAIRES
      RGPD 4

      protection des données personnelles

      RGPD : qui est concerné ?

      rgpd_questionnaire

      protection des données personnelles

      RGPD : évaluez en 20 questions la conformité de votre entreprise

      Données_Personnelles_DPO

      protection des données personnelles

      Délégué à la protection des données (DPO) : quel est son rôle ?

      equipe_technique_rgpd-min

      protection des données personnelles

      RGPD et équipes techniques : comment s'organiser ?

      Portabilité_données_RGPD

      protection des données personnelles

      Portabilité des données : que va permettre le RGPD ?

      Amélie Gautier
      A propos de Amélie Gautier

      Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

      COMMENTAIRES