La sécurité des données est encore une question centrale en 2020, bien que le nouveau Règlement Général sur la Protection des données personnelles soit entrée en vigueur en 2018. En effet, garantir une protection maximale de ces données, ainsi que le respect de la vie privée des utilisateurs est un vrai challenge pour les entreprises et les organismes publics concernés. Parmi les nouvelles obligations prévues par cette loi, figure par exemple le principe d’accountability.

 

 

En quoi consiste ce principe ?

La Commission Nationale de l’Informatique et des Libertés de France le définit comme étant « l’obligation de mettre en œuvre des mécanismes et des procédures internes visant à démontrer le respect des règles relatives à la protection des données ». Il s’agit donc en gros des pratiques permettant d’assurer la protection des données à caractère personnel. L’accountability RGPD s’articule autour des principes suivants :

  • Prendre des mesures pour se mettre en conformité avec le RGPD : expliquer les finalités des opérations de traitement aux personnes concernées, respecter les délais de conservation, d’effacement…
  • Prouver que des mesures techniques ont été prises pour la sécurisation des données
  • Actualiser et améliorer ces mesures de façon continue.

 

 

Les différentes mesures à mettre en place

Pour respecter les droits et libertés des personnes physiques concernés par le RGPD, toute entité soumise au règlement doit :

  • Réduire la quantité et le type de données collectées
  • Traiter les données utiles selon les objectifs
  • Rester transparent et loyal sur les traitements de données
  • Respecter les délais de conservation
  • Pseudonymiser les données
  • Sécuriser les processus de collecte et de traitement
  • Désigner un Délégué à la protection des données ou DPO
  • Tenir des registres de traitement
  • Mettre en place des dispositions pour que les utilisateurs puissent faire exercer leurs droits (droit à l’oubli, droit d’accès…)
  • Encadrer les traitements opérés par les sous-traitants
  • Former et sensibiliser les salariés sur le RGPD
  • Mettre en place un système de suivi régulier et systématique au niveau de la protection des données.

 

 

Pourquoi le principe d’accountability a été mis en place ?

Le principal objectif de l’accountability est de prouver que les entreprises soumises au RGPD ont effectivement mis en place des mesures pour se mettre en conformité. En effet, les principaux acteurs chargés de la gestion des données et de toutes les opérations de traitement doivent s’assurer d’être aux normes, en le démontrant avec une documentation complète.

Nul n’ignore que les données des utilisateurs ont longtemps fait l’objet de mauvais traitements de la part des organismes publics. Mais désormais, grâce au RGPD, ces derniers seront plus responsabilisés. Les risques de violations et de fuites de données seront quasiment nuls car les gouvernements ont tout mis en place pour assurer le respect de la vie privée des ressortissants européens. En savoir plus.

 

 

Les conséquences en cas de non-conformité ou de non-respect

Les entités concernées doivent se rendre compte que si elles ne mettent pas en place les mesures nécessaires pour assurer la conformité avec le RGPD, elles risquent d’en payer le prix fort. Les sanctions sont les suivantes :

  • Une amende pouvant atteindre les 20 millions d’euros ou 4% du chiffre d’affaire annuel
  • L’obligation de se mettre en conformité avec le RGPD
  • Une limite des opérations de traitement, pouvant être temporaire ou définitive
  • Un rappel à l’ordre

Les enjeux sont donc importants et le respect des principes de l’accountability doit être une priorité pour tous les organismes concernés. Dans cette optique, le rôle du DPO est déterminant car c’est l’expert RGPD qui pourra déterminer les actions à entreprendre pour respecter la nouvelle loi.