L’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018 a entraîné des changements significatifs dans le paysage de la protection des données en Europe.Les entreprises européennes sont dorénavant soumises à un large panel de prescriptions : tenue d’un “registre de traitement de données personnelles”, l’information des personnes de la collecte de leurs données personnelles, la possibilité de demander la suppression de leur données etc.
L’ensemble de ces obligations sont toutes l’expression d’un nouveau concept qui a fait son apparition, celui d'"accountability", ou responsabilité. Ce principe signifie que chaque organisation est responsable de la protection des données personnelles qu'elle traite et l'oblige à démontrer cette conformité.
Ainsi, saisir les implications de cette responsabilité est déterminante pour réussir à sa mise en conformité au RGPD.
1 - Qu’est-ce que l'Accountability ?
La définition du RGPD
Le principe est posé à l’article 5 du RGPD qui prévoit que l’organisme est responsable du respect des principes relatifs au traitement des données à caractère personnel et doit être en mesure de démontrer qu’elle respecte l’ensemble de ces obligations. Ce principe contraint les organismes récoltant des données personnelles de mettre en place une documentation qui prouve qu’ils ont bel et bien pris des actions pour leur conformité. Autrement dit, la mise en conformité passe non seulement par l’application active des obligations, mais aussi par sa capacité à le justifier*.*
Observations sur l’accountability
Aucun article du RGPD décrit précisément la façon dont l’accountability doit être menée. Votre but principal est de tenir une documentation claire et compréhensible sur la gouvernance concernant le traitement des données.
Cette dernière, bien que contraignante, a le mérite de vous pousser à faire le point sur vos engagements, vérifier que la conformité est un enjeu réel au sein de votre entreprise et être prêt à vous justifier à tout moment auprès de la CNIL ou toute personne vous ayant confié ses données personnelles.
Par ailleurs, on ne peut parler du principe d’accountability, sans invoquer deux principes qui lui sont complémentaires :
- le concept de privacy by design dont la mission est de prendre en compte la confidentialité des données personnelles dès la conception d'une application ou d'un service ;
- le concept de privacy by default selon lequel chaque entreprise doit s'engager à fournir, par défaut, le plus haut niveau possible de protection des données.
Ces deux notions détaillées dans l’article 25 du RGPD se situent en amont du traitement des données tandis que l’accountability concerne l’aval du processus.
Qui est responsable ?
L’article 5 s’adresse au “responsable de traitement”. Pour rappel, un responsable de traitement est la personne morale qui détermine la finalité et les moyens du traitement. Le sous-traitant est la personne morale qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).
Attention, quand bien même votre organisme a des activités de sous-traitant (par exemple si votre organisme met à disposition de la données pour leurs clients via un logiciel), votre organisme porte une double casquette :
- Celle de responsable de traitements concernant les données que vous traitez pour votre compte : données de vos employés, fournisseurs, données de facturation clients, prospects etc.
- Celle de sous-traitant pour vos activités métiers.
Ainsi, dès lors que votre organisme a de facto, des activités de traitements en tant que responsable de traitement, vous êtes concernés par le principe d’accountability.
En vertu de ce principe, les entreprises sont responsables non seulement du respect des obligations ci-dessus, mais aussi de la démonstration de ce respect. Cela signifie qu'en cas de contrôle, les entreprises doivent être en mesure de fournir des preuves documentées de leur conformité avec le RGPD. Voyons plus en détail de quoi il s’agit.
2 - Comment mettre en place l’accountability ?
Voici quelques obligations et responsabilités clés des entreprises en vertu du principe d'accountability (et donc de la règlementation RGPD).
Documentation pour l’accountability
Les différentes prescriptions imposées au responsable de traitement nécessitent la tenue de nombreux process, ces derniers pouvant participer à la documentation de la conformité et à l’obligation d'accountability.
Le registre de traitement des activités de traitements
Le registre de traitement des activités est le document qui analyse l’état de vos traitements de données personnelles. Censé être exhaustif, il est le premier pilier de votre dossier accountability. Il doit comprendre les éléments suivants :
- Pourquoi collectez- vous ces données ? Chaque donnée que vous récoltez doit avoir une utilité précise, une raison (aussi appelé “finalité”). Cette finalité doit vous guider : si par mégarde vous n’utilisez pas les données en cohérence avec cet objectif, alors il serait temps de l’éliminer de votre base de données ;
- Quel fondement vous autorise à collecter ces informations ? Chaque collecte doit être autorisée soit par l’individu lui même par le recueil de son consentement, parfois c’est la loi qui vous oblige à détenir certaines informations (par exemple pour éditer les bulletins de salaire de vos employés) ou un contrat (par exemple avec votre fournisseur ou votre client). Vous pouvez également justifier d’un “intérêt légitime” à collecter certaines données. Pour vous aider, nous avons décrypté ce qu’on appelle les “bases légales”(article 6 RGPD).
- Combien de temps gardez-vous ces données ? Leur durée de conservation doit être cohérente et justifiée au regard de l’objectif de leur traitement. Ne vous inquiétez pas, la CNIL a créé un référentiel afin de vous aider à y voir plus clair :
- Qui y a accès ? Identifiez les destinataires auxquels les données seront communiquées, y compris les sous-traitants. Attention ! Elles doivent être accessibles aux seules personnes compétentes.
- Quelles sont les mesures de sécurité mises en place pour assurer la protection de ces données.
L’information des utilisateurs
Elle se trouve selon les cas sur le site internet avec la politique de confidentialité, dans des brochures ou des livrets. La forme importe peu, tant qu’il y a la preuve que la communication est adaptée ;
- La preuve de la récolte du consentement avec notamment l’acceptation des CGU et de la politique de confidentialité ;
- La procédure interne mise en place pour l’exercice effectif des différents droits existants :
- le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ;
- le droit de rectification permet la modification et la correction des données personnelles ;
- le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
- le droit à l’effacement permet d’obtenir l’effacement de ses données ;
- le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
- le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
- le droit à l’intervention humaine face à un profilage.
Les contrats sous-traitants
Les contrats de sous-traitance sont aussi des indicateurs fiables. Ils sont là pour régir les obligations respectives du responsable de traitement et du sous-traitant au regard de la protection des données personnelles.
Il vous appartient en tant que responsable de traitement de vous assurer que vous sous-traitants sont également conformes au RGPD. Lorsque vous faites appel aux services d’un sous-traitant, par exemple Airtable, Hubspot, Salesforce, Mailchimp etc., et bien vous transférez des données personnelles à ces outils.
Les analyses d’impact
Les analyses d’impact relatives à la protection des données (AIPD), quand elles sont obligatoires, comportent une description technique et opérationnelle du traitement mis en œuvre, une évaluation juridique et une étude technique des risques sur la sécurité des données.
Cette liste n’est pas limitative et le dossier d’accountability peut être complété par le registre des violations de données et des mesures prises pour y remédier, l’analyse écrite sur l’absence de conflit d’intérêts du DPO, mais aussi d’autres éléments ad hoc prouvant la bonne conduite de la conformité comme des chartes, des référentiels, des codes éthiques, etc.
Cette liste n’est pas limitative et le dossier d’accountability peut être complété par le registre des violations de données et des mesures prises pour y remédier, l’analyse écrite sur l’absence de conflit d’intérêts du DPO, mais aussi d’autres éléments ad hoc prouvant la bonne conduite de la conformité comme des chartes, des référentiels, des codes éthiques, etc.
Désignation d’un Data Protection Officer (DPO)
Selon l’article 37 du RGPD, un DPO n’est obligatoire que dans certains cas :
- l'organisme est un établissement public ;
- les traitements sont effectués régulièrement à grande échelle ;
- les traitements à grande échelle concernent les données sensibles.
Néanmoins, même si vous ne rentrez pas dans l’un de ces cas de figure, la désignation d’un DPO est fortement recommandée.
En effet, il a pour rôle de piloter votre conformité (registre de traitement, exercice des droits, gestion des risques, etc.) et de tenir, à jour, une documentation poussée sur les actions concrètes déployées pour se conformer au RGPD. Nous avons rédigé un guide complet sur les missions du DPO, comment le choisir et son rôle au sein de votre organisation.
Sachez qu’en dehors de toute obligation de nommer un DPO, disposer d’une telle personne au sein de votre entreprise est un excellent indicateur. Il est l’interlocuteur privilégié en cas d’exercice de droit par les personnes concernées et en cas de contrôle par les autorités.
Concrètement, il s’agit de se mettre en conformité RGPD sur les éléments principaux et de pouvoir le démontrer.
3 - Accountability et RGPD : nos tops recommandations
L'accountability ne s’improvise pas et demande un investissement conséquent pour préparer un dossier lisible et convaincant. Pour cela, voici les premières étapes à suivre :
1- Tenez un registre des données personnelles irréprochable ;
2- Rassemblez tous les documents complémentaires déjà rédigés comme l’information des utilisateurs, les modèles de contrat de sous-traitance etc.
3- Désignez un DPO. Il pourra alors auditer l’existant, identifier les faiblesses, mettre à jour les process et classer de façon cohérente la documentation pour l’accountability. Il sera ainsi son gardien tant sur le fond que sur la forme ;
4- Prenez l’habitude de formaliser tous les engagements que vous prenez pour respecter le RGPD. Vous durcissez votre politique de sécurité des données ? Vous souhaitez travailler exclusivement avec des sous-traitants sur le territoire de l’UE ? Pour chaque action prise, rédigez les objectifs que vous désirez atteindre, les raisons pour lesquelles vous le faites et les résultats escomptés.
5- Choisissez un outil RGPD comme Leto qui automatise une grande partie de votre mise en conformité aux règlements de protection des données personnelles (RGPD, CCPA ...) et qui peut être un élément clé de votre accountability.
En vertu du principe d'accountability, les entreprises sont responsables de garantir leur conformité au RGPD. En cas de non-conformité, elles peuvent être tenues responsables et faire face à des sanctions sévères, y compris des amendes pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !