Le principe de « responsabilité »
Le principe de responsabilité exige que les responsables du traitement et les sous-traitants assument la responsabilité de leurs activités de traitement et de la manière dont ils se conforment aux principes de protection des données. Disposer de mesures et de registres appropriés pour démontrer votre conformité est essentiel.
L’imputabilité comporte deux éléments clés.
- Premièrement, le principe d’imputabilité indique clairement que les responsables du traitement et les sous-traitants sont responsables de la conformité au GDPR.
- Deuxièmement, les responsables du traitement et les sous-traitants doivent être en mesure de démontrer leur conformité.
L’imputabilité n’est pas un exercice de case à cocher. Être responsable de la conformité signifie être proactif et organisé en matière de protection des données, tandis que démontrer la conformité est la capacité de présenter des preuves des mesures prises pour se conformer. Pour y parvenir, les grandes organisations doivent mettre en place un cadre de gestion qui peut aider à créer une culture d’engagement envers la protection des données. Ce cadre doit inclure :
- des contrôles de programme solides informés par les exigences du GDPR ;
- des structures de rapport appropriées ; et
- des procédures d’évaluation et d’appréciation.
Les petites organisations peuvent adopter une approche à plus petite échelle en matière de responsabilité mais doivent :
- assurer un bon niveau de compréhension et de sensibilisation à la protection des données parmi le personnel ;
- mettre en œuvre des politiques et des procédures complètes mais proportionnées ; et
- tenir des registres.
Les mesures qui peuvent contribuer à soutenir une approche responsable de la protection des données comprennent :
- S’assurer que des mesures de sécurité sont en place (article 24, paragraphe 1, l’article 32 et les considérants 39 et 83 du GDPR)
- Établir et mettre en œuvre des politiques de protection des données, le cas échéant (voir l’article 24, paragraphe 2, et le considérant 78 du GDPR)
- Adopter la protection des données dès la conception et par défaut (article 25 et considérant 78 du GDPR)
- Formaliser des contrats appropriés avec les sous-traitants et les sous-traitants secondaires (article 28 et considérant 81 du GDPR)
- Maintenir une documentation appropriée sur les activités de traitement (article 7, paragraphe 1, 30, et 33, paragraphe 5, plus les considérants 42 et 82 du GDPR)
- Enregistrer et signaler les violations de données (article 33-34 et considérants 85-88 du GDPR)
- Réaliser des analyses d’impact sur la protection des données (DPIA) si nécessaire (article 35036 et considérants 84 et 89-95 du GDPR)
- Désigner un délégué à la protection des données (DPD) si nécessaire (article 37-39 et considérant 97 GDPR)
- Adhérer à des codes de conduite et à des systèmes de certification le cas échéant (article 40-43 et considérants 98 et 100 GDPR)
L’essentiel est d’être en mesure de prouver quelles mesures ont été prises pour se conformer, ce qui, en pratique, signifie garder des traces de ce qui a été fait et justifier les décisions prises.
Exemple
Une entreprise souhaite utiliser les données personnelles qu’elle détient pour une nouvelle finalité. Elle procède à une évaluation conformément à l’article 6, paragraphe 4, du GDPR, et détermine que la nouvelle finalité est compatible avec la finalité initiale pour laquelle elle a collecté les données personnelles. Bien que cette disposition du GDPR ne précise pas que l’entreprise doit documenter son évaluation de compatibilité, elle sait que pour être responsable, elle doit pouvoir prouver que leur traitement des données personnelles est conforme au GDPR. L’entreprise conserve donc un registre de l’évaluation de compatibilité, y compris les raisons de sa décision et les mesures de protection appropriées qu’elle a mises en place.
La responsabilisation ne consiste pas seulement à répondre à un régulateur : les organisations doivent également démontrer leur conformité aux individus. Les obligations que l’obligation de rendre des comptes impose sont permanentes et les mesures doivent être examinées à des intervalles appropriés pour s’assurer qu’elles restent efficaces.
Pour en savoir plus suivez le lien accountability et rgpd