Lexique > Accountability / responsabilité

Lexique IT

Accountability / responsabilité

Le principe d’accountability / responsabilité, est l’un des principaux principes relatifs au traitement des données à caractère personnel.

Ce principe déjà consacré indirectement par la Directive 95/46/CE est désormais prévu expressément par le RGPD.

Il exige que les responsables de traitement et les sous-traitants s’assurent que tous les principes relatifs au traitement des données à caractère personnel sont bien respectés, en mettant notamment en œuvre les mesures techniques et organisationnelles les plus adaptées et adéquates à chaque traitement.

Les acteurs peuvent se doter d’un corpus de politiques relatives à la protection des données et à la sécurité informatique (politique de confidentialité, charte informatique, …) mais aussi former et sensibiliser leurs collaborateurs traitant des données à caractère personnel.

Le principe d’accountability exige également que les acteurs du traitement puissent démontrer le respect de l’ensemble des principes relatifs au traitement des données à caractère personnel, indispensable en cas d’investigation par une autorité de contrôle, notamment en se dotant d’une documentation adéquate et à jour relative aux traitements réalisés (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, Plan Assurance Sécurité, consultations préalable…).

Assumer pleinement la responsabilité des traitements permet souvent de disposer d’un avantage concurrentiel : l’accountability est une opportunité de montrer au public que le respect de leur vie privée est une priorité, et ainsi développer ou maintenir une relation de confiance.

Pour maintenir dans le temps le respect du principe de responsabilité et ainsi développer une culture de la protection des données, la mise en place de mécanismes internes ou de changements organisationnels peuvent être nécessaires.

La désignation d’un Délégué à la Protection des Données, obligatoire dans certaines circonstances, peut également s’inscrire dans cette logique.

L’adhésion à un code de conduite ou l’obtention d’une certification peuvent permettre de démontrer le respect du principe d’accountability mais ne permettront en aucun cas de diminuer la responsabilité du responsable du traitement ou du sous-traitant qui se doivent toujours d’être en mesure démontrer à tout instant le bon respect des principes relatifs au traitement des données à caractère personnel.

Le non-respect du principe d’accountability / responsabilité, ou de la possibilité d’en démontrer le bon respect, peut entraîner de très lourdes sanctions par les autorités de contrôle.

Point RGPD

« Le responsable du traitement est responsable du respect du paragraphe 1 [les autres principes relatifs au traitement des données à caractère personnel] et est en mesure de démontrer que celui-ci est respecté »

Article 5, paragraphe 2, du RGPD

« Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. »

Considérant 74 du RGPD

Point jurisprudence

L’autorité italienne a condamné la société Wind au paiement d’une amende de 16 729 600€ pour « ne pas avoir pu démontrer le respect des règles des traitements mis en place et l’effacicté des mesures prises, comme exigé par l’article 5, paragraphe 2, du règlement ».

Garante per la protezione dei dati personali, 9 juillet 2020, N°9435753

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.