6 octobre 2022
accountability rgpd

Qu’est-ce que le principe d’accountability RGPD ?

Aujourd’hui, les entreprises ont l’obligation de se conformer au Règlement Général sur la Protection des Données (RGPD). Pour être en conformité avec cette nouvelle réglementation européenne, tout organisme doit mettre en œuvre différentes procédures et actions internes. Parmi ces procédures, on retrouve l’accountability rgpd. De quoi s’agit-il ? Qui est concerné ? Comment mettre en place le principe d’accountability ? Pour répondre à ces questions, voici tout ce que vous devez savoir sur l’accountability rgpd.

Qu’est-ce que l’accountability rgpd ?

Le principe d’accountability est l’obligation pour une entreprise d’implanter des procédures internes, assurant la conformité à la réglementation sur la protection des données à caractère personnel. C’est une obligation qui assure l’efficacité de l’ensemble des mesures mises en place par le responsable de traitement. Ces mesures techniques et organisationnelles mises en œuvre doivent faire l’objet d’une révision et d’une mise à jour régulière pour garantir la conformité de l’entité. Pour en savoir davantage sur le principe d’accountability rgpd, voir ce lien.

 

Pourquoi mettre en place le principe d’accountability ?

 

Le principe d’accountability rgpd a pour principal objectif de prouver que les actions internes instaurées par les entreprises et les organisations sont conformes au RGPD. Une documentation complète servira de preuve. Ce principe offre également la possibilité aux instances de contrôle des pays membres de l’UE d’effectuer une vérification du respect des règles de sécurité par les entités. Le but est de responsabiliser chaque organisation sur la protection de la vie privée des utilisateurs. Dans le cadre de l’instauration de ces mesures internes, le responsable de traitement doit :

  • réaliser une analyse des risques ;
  • sécuriser les traitements de données personnelles conformément au règlement européen ;
  • émettre une documentation exhaustive sur les mesures prises ;
  • se former au RGPD.

 

Qui sont concernés par l’application du principe d’accountability ?

 

L’application du principe d’accountability est obligatoire pour les responsables de traitement et ses sous-traitants. On parle ici de l’ensemble des organismes, privés ou publics, concernés par les traitements de données à caractère personnel. Toutes les entreprises effectuant une collecte, un stockage et un partage de données privées sur le territoire européen sont alors concernées par l’application du RGPD. Il est de leur devoir d’assurer l’efficacité des mesures internes pour assurer la conformité de leurs organisations aux règles imposées par la loi.

 

La mise en place du principe d’accountability étape par étape

 

Le principe d’accountability rgpd inclut différentes mesures à mettre en place au sein de chaque entreprise concernée.

 

Les obligations de mise en conformité

Les entreprises concernées par l’accountability doivent respecter des obligations pratiques. Elles sont tenues de mobiliser leurs compétences organisationnelles, juridiques et informatiques. Les obligations consistent à informer l’autorité compétente, c’est-à-dire la commission nationale informatique et liberté (CNIL), mais aussi les clients ainsi que les fournisseurs.

 

La création du dossier de conformité

La rédaction d’un dossier de conformité, aussi appelé dossier d’accountability, est nécessaire pour se mettre en conformité avec la réglementation. Cette documentation comporte les chartes, les codes de conduite ou autres référentiels à absolument connaitre. Il est possible de conserver ce dossier sous format papier ou électronique. Les documents utiles pour le dossier de conformité sont les suivants :

  • le registre de traitement ;
  • la cartographie des traitements de données, avec un flux de données schématisé ;
  • un code d’éthique concernant les principes fondamentaux de l’entreprise ;
  • la politique de confidentialité mise en place sur le plan internet et externe ainsi que la politique de gestion des cookies ;
  • la nomination d’un DPO ;
  • l’intégration d’un formulaire de consentement ;
  • la traçabilité du document de consentement ;
  • l’information sur les droits des personnes concernées : le droit à l’oubli, le droit à la portabilité des données, le droit à la rectification ;
  • la traçabilité de chaque traitement réalisé ;
  • et la politique de sécurité des systèmes d’informations.

Ces pièces pourront être présentées par le responsable de traitement à l’autorité compétente, en cas de contrôle. 

 

La formation au RGPD

Pour prouver l’application de l’accountability, l’entreprise peut prévoir des formations spécifiques sur le RGPD. Le fondement juridique des traitements de données réalisés pourra être établi par les institutions responsables. Cela permet d’assurer que les traitements se fassent dans le respect de la réglementation en vigueur. Au cours des séances de sensibilisation et de formation, des simulations d’attaques fictives permettent d’enrichir les données recueillies.

 

La vérification de l’efficacité des mesures internes

Sur le plan opérationnel, les entreprises doivent assurer l’effectivité et l’efficacité des procédures implantées en interne. Ces procédures d’anticipation devront être détaillées et formalisées dans le dossier de conformité. Dès la conception des mesures, des actions de protection doivent être intégrées.

 

Quelles sanctions en cas de non-respect de cette obligation ?

 

En cas de non-respect de l’application de l’accountability, une entreprise est soumise à diverses sanctions.

 

Un rappel à l’ordre

La CNIL émet un rappel à l’ordre pour obliger l’entreprise d’améliorer sa politique de protection de données personnelles en interne. Cette sanction peut entrainer une suspension temporaire ou complète des traitements d’informations au sein de l’organisation.

 

Des sanctions financières

Une non-conformité soumet l’entreprise à des sanctions financières d’une hauteur de 4 % du chiffre d’affaires annuel ou 20 millions d’euros. Le montant le plus élevé entre les deux valeurs est retenu.

 

Une publication officielle sur le site de la CNIL

Les entreprises non conformes au règlement sur la protection des données sont publiées sur le site de la CNIL. La publication de ces informations peut grandement impacter la réputation et l’image de marque de l’entité vis-à-vis des clients et des partenaires.

 

Principe d’accountability : quelle procédure suivre en cas de cyberattaque ?

 

Quelques points importants doivent être mis en œuvre par une entreprise en cas de cyberattaque.

 

La gouvernance

La démarche consiste à identifier toutes les parties prenantes dans le cadre de la gestion d’une cyberattaque. La mise en place d’une cellule de crise est indispensable avec un responsable stratégique, un responsable de la sécurité des systèmes d’informations et un délégué à la protection des données (DPO).

 

La gestion de la transparence

Les responsables de traitement, les prestataires et les sous-traitants sont tenus de respecter des règles de transparence et de confidentialité.

 

L’identification des actions

La procédure doit permettre d’identifier facilement les moyens à mettre en œuvre sur le court et le long terme.

 

La traçabilité de ces mesures

La traçabilité des actions à mener est obligatoire suivant le principe d’accountability. Chaque détail sur l’événement est à notifier :

  • la date et l’heure de l’action ;
  • le nom de l’individu à l’origine de l’action ;
  • la description des actions pour suivre leur état d’avancement au sein de l’entreprise.

 

La notification à la CNIL sous le délai légal

En cas de problème en termes de cybersécurité, les entités concernées doivent en informer la CNIL dans les délais. Le délai légal de notification est de 72 heures au maximum, après avoir pris connaissance du problème. Cette notification doit comporter : la nature de la violation de données, les conséquences de cette violation ainsi que les mesures prises pour remédier au problème.

 

La communication aux personnes concernées

Les personnes concernées doivent être informées de la violation de leurs données à caractère personnel dans un délai raisonnable.

Laisser un commentaire