Le principe d’accountability : on décrypte !

Le RGPD repose sur quelques grands principes fondamentaux. Ces principes changent la logique de la conformité des entreprises au RGPD. En effet, le principe d’accountability par exemple conduit à donner une place plus importante aux entreprises dans leur démarche RGPD, dans un but de responsabilisation et donc de meilleure protection des données.

Concrètement, le principe d’accountability organise la relation entre les autorités de contrôle, comme la CNIL, et les entreprises. En effet, le contrôle de la conformité des entreprises au RGPD passe par la capacité des DPO en charge du RGPD de prouver qu’ils ont bien mis en œuvre les démarches adaptées à la protection des données.

Que recouvre précisément le principe d’accountability, au coeur du fonctionnement du RGPD ? Quels sont les documents et justificatifs à fournir à la CNIL en cas de contrôle ? Comment utiliser un logiciel RGPD pour faciliter la tenue des registres et la conduite des efforts de conformité ?

Qu’est-ce que le principe d’accountability du RGPD ?

Le principe d’accountability apparaît à l’article 5 du RGPD qui en définit justement les grands principes. En fait, cet article comprend deux alinéas. L’article 5.1 est consacré à la définition des principes du traitement des données selon le RGPD, lorsque l’article 5.2 porte sur l’accountability.

Ce n’est pas un détail et cette construction permet de bien comprendre. Le principe d’accountability n’est pas directement une des règles encadrant le traitement des données par les entreprises mais vise plutôt à créer une logique fondamentale de la conformité européenne. En ce sens, on peut le rapprocher des principes de privacy by default et de privacy by design.

Plus précisément, le texte précise que les entreprises doivent non seulement respecter les principes encadrant le traitement des données mais en plus “démontrer que [ces principes sont] respectés”.

Ainsi, le RGPD donne la définition du principe d’accountability qu’on peut résumer comme la nécessité pour le DPO ou le responsable du traitement de documenter toutes les actions mises en œuvre. Il ne suffit pas d’être conforme au RGPD, encore faut-il pouvoir le prouver.

En pratique, on peut en déduire une liste de documents nécessaires au respect du principe d’accountability.

Quels documents fournir pour respecter le principe d’accountability ?

Le RGPD ne définit pas directement les documents correspondant au principe d’accountability. C’est au DPO ou au responsable du RGPD dans l’entreprise de justifier par tous moyens qu’il a bien respecté les grands principes du RGPD, comme la sécurisation des données personnelles collectées, la proportionnalité des traitements à la finalité poursuivie ou encore le recueil du consentement lorsque nécessaire.

Cependant, on peut tout de même dégager des documents essentiels à fournir à la CNIL en cas de contrôle.

Le registre de traitement

Le premier d’entre eux est le registre des traitements. Celui-ci est un document qui permet d’énumérer les opérations de traitement de données opérées par l’entreprise.

Il précise plusieurs éléments : les finalités poursuivies, la catégorie de données collectées, les parties prenantes (sous-traitants, partenaires, responsable du traitement…), les modes de sécurisation des données ou encore la durée de conservation des données.

L’analyse d’impact AIPD

L’analyse d’impact ou AIPD est un document permettant de piloter une obligation des DPO dans le cadre du RGPD qui est la conduite d’analyse d’impact pour chaque opération de traitement opérée par l’entreprise.

En pratique, il s’agit d’identifier les risques pouvant peser sur la protection des données ou le respect de la vie privée des utilisateurs pour chaque traitement. C’est ce document qui sert de base aux décisions du DPO et de l’entreprise quant aux mesures à prendre pour assurer que les bonnes pratiques sont appliquées, en fonction du niveau de sensibilité du traitement.

Pour en savoir plus sur l’AIPD, consultez le replay de notre webinar sur l’analyse d’impact.

La conformité est une affaire de choix

Le principe d’accountability suppose que les entreprises disposent d’une latitude importante quant au choix des mesures à adopter. L’idée derrière cela est qu’il deviendrait vite contre-productif en pratique pour les autorités de contrôle d’imposer le recours à une solution de sécurisation parmi d’autres, par exemple un protocole donné de chiffrement de données.

En effet, un grand nombre de solutions techniques mises en place pour protéger les données des utilisateurs reposent sur des technologies qui évoluent très rapidement. Le choix est donc laissé aux acteurs économiques de la meilleure solution correspondant à leur problème donné.

La contrepartie de cette liberté est qu’il est nécessaire de pouvoir justifier que ces choix sont les bons. En d’autres termes, il faut pouvoir présenter une documentation présentant les solutions notamment en termes de cybersécurité et justifiant de leur adéquation avec le niveau de risque associé.

Comment se mettre en conformité rapidement avec le principe d’accountability ?

Le principe d’accountability impose aux DPD de construire une documentation importante et complexe, qui peut rapidement devenir tentaculaire tant le nombre d’opérations de traitement différentes peut être important.

C’est pourquoi il est conseillé d’utiliser un outil de conformité RGPD. Un logiciel RGPD pourra vous aider à construire la documentation digitalisée de façon automatique. Ainsi, le travail de mise en conformité lié au respect du principe d’accountability est largement facilité, à la fois en termes de temps et de qualité.

Les informations sont tenues à jour, partagées automatiquement et cohérentes entre vos différents documents.