La CNIL sur son site donne une définition de ce principe : « L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. »

 

Alors qu’est-ce que le principe d’accountability ?

L’article 24 du RGPD pose le principe de « responsabilité » : « (…) le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaires. »

L’article 5 du RGPD prévoit que « le responsable de traitement est responsable (du respect des principes relatifs au traitement des données à caractère personnelles) et est en mesure de démontrer que ceux-ci sont respectés. »

 

C’est donc d’une obligation générale de démontrer sa conformité au RGPD dont il s’agit !

Autrement dit, plutôt que de conserver une obligation générale de notifier les traitements de données à caractère personnel à l’autorité de contrôle, c’est-à-dire la CNIL, comme avec la Directive 95/46/CE, on évite ainsi une charge administrative et financière lourde, et dont l’efficacité sur la protection des données personnelles peu avérée.

 

Il faut le reconnaître, c’est un sacré bouleversement dans le système juridique français !

Tout d’abord il ne s’agit ni plus ni moins que de l’importation de la notion anglo-saxonne de compliance, imposée sur la scène internationale par les tribunaux américains en matière bancaire et financière, et reprise dans le code de l’OCDE sur la protection de la vie privée.

Le RGPD ambitionne donc de responsabiliser les acteurs européens pour mettre fin aux pratiques portant atteinte à la vie privée.

 

Ce faisant, c’est un renversement complet de la charge de la preuve qui est imposé !

Il faut maintenant apporter une preuve de sa conformité dés l’origine, et non plus seulement en cas d’atteinte aux données personnelles.

Cette accountability ou responsabilisation entraîne donc une obligation de documenter toutes les actions entreprises pour se mettre en conformité. Lors de contrôles, ces documents doivent être présentés aux agents de la CNIL.

L’absence de tels documents entrainera une sanction très lourde : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.

 

Nous reviendrons dans de prochains articles sur les documents requis, parmi lesquels figure en tête le registre des traitements.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée Champs requis marqués avec *

Poster