Focus sur le principe d’accountability

Définition du principe d’accountability

Ce terme est difficile à traduire, cela revient en quelque sorte à être en permanence en capacité de démontrer de quelle manière le principe de responsabilité est mis en œuvre. En français, la traduction la plus proche serait : obligation de rendre compte.
Le G29 a eu l’occasion d’y apporter cette définition : mesures qui devraient être prises ou fournies pour assurer la conformité en matière de protection des données.
Dans le Règlement Général de Protection des Données, la traduction française, le « principe de responsabilité », reflète de manière imparfaite la réalité de l’obligation qui est mise à la charge des organismes. La lecture du détail desdites obligations permet d’avoir une vision plus précise :
– Le responsable du traitement est responsable du respect des principes (licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude des données, respect de la durée de conservation et mesures de sécurité) ;
– Il est en mesure de démontrer à chaque instant que ces dispositions sont respectées. Il met donc en œuvre des mesures techniques et organisationnelles appropriées.
– Ces mesures doivent être réexaminées régulièrement et actualisées si nécessaire.

Les mesures techniques et organisationnelles

Ces mesures doivent être prise au cas par cas en tenant compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes. Le responsable de traitement doit donc mettre en œuvre des mesures techniques et organisationnelles appropriées afin de se conformer aux principes de protection des données et notamment à la minimisation et la sécurisation.
Il peut s’agir, par exemple, de :
– Mettre en place des politiques et procédures internes garantissant le respect des principes de protection des données,
– Réaliser l’inventaire des traitements,
– Définir la répartition des rôles et des responsabilités,
– Effectuer des opérations de sensibilisation et de formation du personnel,
– Désigner un délégué à la protection des données,
– Déployer des mesures de sécurisation et de contrôle des accès aux systèmes d’information,
– Opérer des vérifications de l’efficacité des mesures prises (contrôles, audits).
La transparence sur les politiques de confidentialité et sur la gestion des demandes d’accès et des plaintes des personnes concernées contribue à améliorer le niveau d’accountability.

Une évolution plus qu’une révolution

Le principe d’accountability n’a pas été inventé par le RGPD et n’est pas une notion nouvelle dans le domaine de la protection des données et de la vie privée. Les lignes directrices émises par l’OCDE en 1980 y faisaient déjà référence.
L’accountability n’est pas davantage une révolution puisque les grands principes de protection des données étaient déjà inclus dans la loi Informatique et Libertés en France avant la mise en œuvre du RGPD.
En revanche, l’obligation de documentation à des fins de démonstration est plus novatrice. En cas de violation de données, les autorités nationales (la CNIL en France) devraient théoriquement tenir compte du niveau de respect de ce principe avant de prononcer une sanction. En outre, en l’absence de violations de données à caractère personnel, le simple non-respect du principe d’accountability pourra servir de motif à une sanction de la CNIL.
Il est donc indispensable pour les organismes (entreprises, administrations, associations…) de s’appuyer sur des personnes ayant des connaissances techniques et juridiques pointues en matière de protection des données. Ces professionnels doivent notamment être aptes à :
– Avoir une vision globale des traitements effectués,
– Mettre en place des politiques de protection des données,
– Auditer régulièrement les mesures prises,
– Communiquer et former le personnel.

safe-913452-1(1)