Accountability RGPD : les principes et les règlements sur la protection des données
Face aux différents scandales liés aux fuites de données, les gouvernements ont décidé de prendre des mesures adéquates en instaurant un règlement européen relatif à la protection des données à caractère personnel.
Que signifie au juste l’accountability RGPD ?
GDPR (General Data Protection Regulation) en anglais ou RGPD (Règlement Général de Protection des Données) est un texte de référence Européen en matière de protection des données personnelles.
Le RGDP vise à uniformiser au niveau européen la réglementation sur la protection des données, à responsabiliser davantage les entreprises en développant l’auto-contrôle et enfin à renforcer le droit national des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.).
Le RGPD modernise alors le cadre juridique en matière de protection des données. Il concerne essentiellement les personnes physiques et non morales.
L’accountability qui, dans le cadre du RGDP, signifie en français « responsabilisation » est une notion du RGPD qui désigne l’obligation des entreprises à mettre en œuvre des procédures internes destinées à améliorer les données et permettre de démontrer aisément l’efficacité des mesures prises.
Quelles sont les mesures à mettre en place pour être dans les normes ?
Il s’agit d’une mise en place d’une gestion de données personnelles, dans le but de les protéger.
L’entreprise doit justifier dans un document qu’elle a bien identifié, évalué, et encadré les risques en matière de protection des données personnelles, et être ainsi conforme au RGPD.
Pour y parvenir, l’entreprise doit justifier dans un registre des traitements que des procédures de contrôle et de plans d’action ont été élaborées.
Qui sont les acteurs concernés par cette réglementation ?
Toutes les entreprises privées ou publiques des 28 États membres de l’Union Européenne sont concernées par l’accountability RGPD. En particulier celles qui opèrent, collectent et traitent de données à caractère personnel sur des résidents européens.
Qui procède au contrôle et comment doit-il se passer ?
La CNIL, Commission nationale de l’Informatique et des Libertés, est l’autorité de contrôle et de régulation française chargée de veiller à la bonne application par les acteurs économiques de la Loi Informatique et Libertés, et de l’application du GDPR.
C’est la CNIL qui est chargée de contrôler les entreprises si elles sont conformes à la sécurité des données.
Trois types de contrôles sont prévus :
– le contrôle sur place
– le contrôle par audition. L’entreprise concernée reçoit au moins 8 jours à l’avance une notification d’audit.
– le contrôle à distance, via internet. Les agents de la CNIL vérifient les données sur le site de l’opérateur pour voir si les obligations ont toutes été respectées.
Au sein d’une entreprise le DPO (Data Protection Officer) est la personne dont le rôle est de contrôler la conformité à la RGPD, d’informer et de conseiller les responsables de traitements. Les entreprises traitant des données sensibles et/ou à grande échelle ont obligation de désigner un DPO. C’est lui qui présentera aux auditeurs de la CNIL les dossiers d’accountability de l’entreprise en cas de contrôle sur place. L’entreprise peut faire appel à un sous-traitant pour s’acquitter de cette tâche. C’est exactement l’une des missions assurées par DPO consulting.
Existe-t-il des sanctions en cas de non-respect ?
La réponse est affirmative. Il existe bien des sanctions en cas de manquement venant des organismes concernés. Les organismes chargés du contrôle de l’application de ce règlement peuvent prononcer des sanctions administratives et pécuniaires sévères. Elles peuvent être des amendes allant de 20 millions d’euros jusqu’à 4% du chiffre d’affaire mondial, d’une suspension temporaire ou définitive du traitement des données personnelles, en plus d’un rappel à l’ordre et d’une obligation de mise en conformité.
Ainsi, pour un bref rappel, le RGDP est un règlement qui a pour but de redonner aux citoyens le contrôle de leurs données personnelles, tout en allégeant les démarches administratives au sein des entreprises.
2 thoughts on “Accountability RGPD : les principes et les règlements sur la protection des données”