La règlementation européenne sur la protection des données vise à encadrer les traitements de données personnelles et à renforcer la maitrise des personnes concernées sur leurs données.
Dans cette perspective, plusieurs nouvelles dispositions ont été introduites, dont notamment celles qui confèrent de nouveaux droits aux individus et celles qui renforcent la responsabilité des organismes traitant des données personnelles. On parle de la responsabilisation du responsable de traitement, autrement accountability.
De quoi s’agit-il ?
Le principe d’accountability est l’un des fondements du RGPD. Il implique que le responsable de traitement veille, d’une part, au bon respect du règlement sur la protection des données et d’autre part, qu’il soit en mesure de démontrer les actions prises et leur efficacité.
Du fait de ce principe, les organismes collectant et traitant des données personnelles ne sont plus soumis, dans un grand nombre de cas, à l’obligation de réaliser des formalités préalables auprès de la CNIL. Ces acteurs deviennent toutefois responsables de leur conformité aux principes de protection des données et des mesures doivent être mises en œuvre en interne pour pouvoir prouver cette conformité.
Quelle documentation ?
Être responsable de la conformité implique notamment d’être proactif et bien organisé quant à la démarche adoptée sur la protection des données personnelles.
Pour se faire, le responsable de traitement doit implémenter des mesures appropriées et effectives. Celles-ci doivent être, selon l’article 24 du RGPD, adaptées à la nature, la portée, le contexte et les finalités du traitement. Les risques que le traitement est susceptible d’engendrer pour les droits et libertés des personnes doivent également être pris en compte lors de la définition de ces mesures.
Un dispositif global de gestion de la conformité peut contribuer à créer une conformité systématique et concrète, et à planifier les évaluations et contrôles à effectuer. Les processus doivent être exhaustifs et proportionnés selon les activités de traitement.
Le responsable de traitement doit pouvoir notamment démontrer que les données sont traitées de manière licite, loyale et transparente, que le principe de limitation des finalités est bien respecté, que seules les données nécessaires sont collectées, que les données ne sont conservées que le temps nécessaire au regard des finalités et qu’elles sont bien sécurisées.
Un dossier spécifique doit être créé contenant tous les process permettant de prouver le respect de l’ensemble de ces obligations. Toute analyse doit également être documentée et conservée. Ceci implique la rédaction de nombreux documents, dont notamment :
- Le registre des traitements
- La politique de confidentialité
- La politique des cookies
- Les contrats nécessaires, dont les contrats de sous-traitance
- Les documents relatifs aux mesures de sécurité mises en place
- La documentation qui concerne les violations de données à caractère personnel
- Les analyses d’impact sur la protection des données effectuées
- La stratégie suivie pour le respect du principe de limitation de la conservation
- Les mécanismes de gestion des droits des personnes
- Les process pour respecter les obligations de « protection des données dès la conception et par défaut », etc…
Il faudrait aussi veiller à ne recourir qu’à des sous-traitants offrant des garanties suffisantes quant aux mesures techniques et organisationnelles, et bien conserver la documentation permettant de prouver cette conformité.
Les obligations en matière de protection des données étant de nature évolutive, les mesures mises en place doivent être revues et actualisées de manière régulière.
Dans le cas d’un contrôle CNIL, l’organisme doit coopérer avec l’autorité de contrôle et mettre à sa disposition tout document demandé. Le non-respect de ce principe d’accountability ou encore le manque de coopération avec l’autorité de contrôle peut entraîner le prononcé d’amendes administratives lourdes, pouvant s’élever jusqu’à 20 000 000 d’euros ou 4 % du chiffre d’affaires annuel.
