Accountability : la nouvelle responsabilité de l’entreprise avec le RGPD

par
5
Consulter un avocat spécialisé en RGPD

Sommaire

  1. L'accountability : quelles mesures ?
Consulter un avocat spécialisé en RGPD

Au sens du Règlement Général de Protection des Données, l’accountability est la mise en conformité d’une société par rapport au RGPD, par elle-même, dans une logique de responsabilisation.
Dans cette même logique, l’accountability s’accompagne de mesures permettant de montrer la réalité de la protection des données. Il est important de noter ces 2 aspects de l’accountability : la mise en œuvre responsable du RGPD et le « rendre compte ».

Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups


L'accountability : quelles mesures ?

Pour information, le RGPD a redéfini que les données « personnelles » sont les données permettant d’identifier une personne : « est réputée identifiable une personne qui peut être identifiée directement ou indirectement (…), notamment par référence à un identifiant, par exemple un nom, un numéro d'identification, des données de localisation, ou un identifiant en ligne, ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Rappelons ensuite le champ d’application matériel du RGPD (articles 2 et 4 de la directive).

  • Sont concernés les traitements automatisés de données à caractère personnel, ainsi que les traitements non automatisés de données à caractère personnel qui sont déjà ou susceptibles d’être dans des fichiers (sauf si les traitements sont effectués dans le cadre d’activités exclusivement personnelles) avec comme corollaire que ces données soient récoltées et traitées dans les conditions générales permises par la loi (notamment avec une finalité déterminée, explicite et légitime).
  • Ne sont pas concernées les copies temporaires de fichiers, faites par exemple dans le cadre d’activités techniques de fourniture d’accès, migration, transmission dans le but de stockage, sauvegarde automatique ou intermédiaire ou transitoire.

Dans ce cadre, le RGPD impose aux entreprises et organismes qui manipulent de manière importante des données, d’adapter leur fonctionnement afin de garantir (et de pouvoir montrer –« rendre des comptes » si on traduit littéralement le terme), que leurs traitements des données à caractère personnel respectent la loi.

Concrètement, l’obligation d’accountability incite (et oblige dans certains cas) à désigner un délégué à la protection des données (DPO) mais force surtout les personnes en charge du traitement des données à :

  • Garder une trace documentaire de tout traitement effectué sous la responsabilité du responsable du traitement ou du sous-traitant
  • Analyser les conséquences concrètes des traitements de données présentant des risques particuliers au regard des droits et libertés des personnes concernées
  • Adopter l’approche « Privacy by design » , à savoir prendre en compte la protection des données dès la conception d’un projet et durant son fonctionnement

Le responsable de traitement doit pouvoir prouver qu’il respecte bien toutes les obligations en matière de protection des données à caractère personnel et que toutes les mesures idoines ont été prises afin de protéger efficacement les données collectées.

Ceci implique donc très concrètement de :

  • Réduire la quantité et le type de données collectées et traitées au minimum nécessaire aux objectifs affichés
  • Rendre transparents les traitements tout en les sécurisant tout au long de la chaine (et en vérifiant régulièrement la sécurité)
  • Pseudonymiser les données et vérifier les délais de conservation
  • Permettre aux personnes concernées d’exercer leurs droits de modification et suppression
  • Avoir un responsable de la mise en place du RGPD (au besoin un DPO)
  • Tenir des registres listant les traitements, les mesures prises (dans certains ces registres sont obligatoires)
  • Revoir les contrats avec les sous-traitants en contact avec les données et les encadrer
  • Faire régulièrement des audits des traitements de données et de se tenir informés des évolutions de la règlementation

En résumé, le RGPD veut responsabiliser les entreprises collectant et traitant des données à caractère personnel, avec des actes et procédures concrètes à mettre en place et la suppression des obligations déclaratives ou autres formalités administratives qui avaient cours jusqu’à présent.

Besoin d'accompagnement pour vous mettre en conformité avec le RGPD ? Consultez nos avocats spécialisés dans le domaine. Pour en savoir plus sur notre prestation cliquez ci-dessous. 

 

Amélie Gautier

Écrit par

Amélie Gautier

Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Modèle de contrat SaaS : un pari risqué avec le RGPD ?

Vous êtes en train de développer un tout nouveau logiciel, celui-ci sera exploité en mode Saas. ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier