BLOG AIDE
    S'inscrire ou Se connecter
    CONSULTATION AVOCAT EN 24H > CONSULTATION AVOCAT EN 24H > Accountability : la nouvelle responsabilité de l’entreprise avec le RGPD

    Accountability : quelles sont ses principales mesures ?

    Gestion d'entreprise
    Captain Contrat
    LE
    4min

    Au sens du Règlement Général de Protection des Données, l’accountability est la mise en conformité d’une société par rapport au RGPD, par elle-même, dans une logique de responsabilisation.
    Dans cette même logique, l’accountability s’accompagne de mesures permettant de montrer la réalité de la protection des données. Il est important de noter ces 2 aspects de l’accountability : la mise en œuvre responsable du RGPD et le « rendre compte ».

    Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups


    L'accountability : quelles mesures ?

    Pour information, le RGPD a redéfini que les données « personnelles » sont les données permettant d’identifier une personne : « est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

    Rappelons ensuite le champ d’application matériel du RGPD (articles 2 et 4 de la directive).

    • Sont concernés les traitements automatisés de données à caractère personnel, ainsi que les traitements non automatisés de données à caractère personnel qui sont déjà ou susceptibles d’être dans des fichiers (sauf si les traitements sont effectués dans le cadre d’activités exclusivement personnelles) avec comme corollaire que ces données soient récoltées et traitées dans les conditions générales permises par la loi (notamment avec une finalité déterminée, explicite et légitime).
    • Ne sont pas concernées les copies temporaires de fichiers, faites par exemple dans le cadre d’activités techniques de fourniture d’accès, migration, transmission dans le but de stockage, sauvegarde automatique ou intermédiaire ou transitoire.

    Dans ce cadre, le RGPD impose aux entreprises et organismes qui manipulent de manière importante des données, d’adapter leur fonctionnement afin de garantir (et de pouvoir montrer –« rendre des comptes » si on traduit littéralement le terme), que leurs traitements des données à caractère personnel respectent la loi.

    Concrètement, l’obligation d’accountability incite (et oblige dans certains cas) à désigner un délégué à la protection des données (DPO) mais force surtout les personnes en charge du traitement des données à :

    • Garder une trace documentaire de tout traitement effectué sous la responsabilité du responsable du traitement ou du sous-traitant
    • Analyser les conséquences concrètes des traitements de données présentant des risques particuliers au regard des droits et libertés des personnes concernées
    • Adopter l’approche « Privacy by design » , à savoir prendre en compte la protection des données dès la conception d’un projet et durant son fonctionnement

    Le responsable de traitement doit pouvoir prouver qu’il respecte bien toutes les obligations en matière de protection des données à caractère personnel et que toutes les mesures idoines ont été prises afin de protéger efficacement les données collectées.

    Ceci implique donc très concrètement de :

    • Réduire la quantité et le type de données collectées et traitées au minimum nécessaire aux objectifs affichés
    • Rendre transparents les traitements tout en les sécurisant tout au long de la chaine (et en vérifiant régulièrement la sécurité)
    • Pseudonymiser les données et vérifier les délais de conservation
    • Permettre aux personnes concernées d’exercer leurs droits de modification et suppression
    • Avoir un responsable de la mise en place du RGPD (au besoin un DPO)
    • Tenir des registres listant les traitements, les mesures prises (dans certains ces registres sont obligatoires)
    • Revoir les contrats avec les sous-traitants en contact avec les données et les encadrer
    • Faire régulièrement des audits des traitements de données et de se tenir informés des évolutions de la règlementation

    En résumé, le RGPD veut responsabiliser les entreprises collectant et traitant des données à caractère personnel, avec des actes et procédures concrètes à mettre en place et la suppression des obligations déclaratives ou autres formalités administratives qui avaient cours jusqu’à présent.

    Besoin d'accompagnement pour vous mettre en conformité avec le RGPD ? Consultez nos avocats spécialisés dans le domaine. Pour en savoir plus sur notre prestation cliquez ci-dessous. 

    Consultez un avocat spécialiste du RGPD Je consulte un avocat en ligne

    Donnez votre avis
      ARTICLES SIMILAIRES
      startup rgpd

      document consultation avocat en 24h

      Startup et RGPD : les 5 questions les plus posées

      document consultation avocat en 24h

      La responsabilité de l'agent immobilier : dans quels cas est-elle engagée ?

      document consultation avocat en 24h

      Comment contester une mise en demeure ?

      document consultation avocat en 24h

      Prestataire et éditeur SaaS : quelle documentation établir pour répondre à un appel d’offres ? 

      document consultation avocat en 24h

      L'éditeur de logiciel Saas face au RGPD, par Me Znaty

      Amélie Gautier
      A propos de Amélie Gautier

      Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

      COMMENTAIRES