Depuis le 25 mai 2018, le Règlement général de la protection des données est applicable en France.
Ce règlement consiste à encadrer la collecte et le traitement des données personnelles afin de renforcer la protection des droits et libertés des utilisateurs d’internet, entre autres.
En effet, la collecte des données personnelles représente un risque important d’atteinte à la vie privée dans la mesure où celles-ci fournissent une grande quantité d’informations sur les utilisateurs de services.
A ce titre, le RGPD a introduit un nouveau principe en matière de protection des données, le principe d’accountability.
SOMMAIRE :
- Qu'est-ce que le principe d’accountability ?
- Principe d’accountability : qui est concerné ?
- Principe d’accountability, portabilité des données et privacy by design : quelles différences ?
- En pratique : comment se matérialise l’accountability ?
- Quel contenu pour un dossier de conformité ?
- Quelles sanctions en cas de non-respect ?
- Pourquoi est-il important et recommandé de se faire accompagner par un avocat dans la mise en conformité RGPD de sa société ?
1. Qu'est-ce que le principe d’accountability ?
Le principe d’accountability existait déjà dès les années 80. Plusieurs textes y faisaient référence comme notamment certaines dispositions de l’OCDE.
Avant l’entrée en vigueur du RGPD, les entreprises qui collectaient des données personnelles devaient effectuer des formalités préalables auprès de la CNIL pour être autorisées à traiter ces données. Le RGPD a mis fin à ces formalités, mais impose en contrepartie aux entreprises l’obligation de rendre des comptes et d’assumer leur responsabilité en cas de non-conformité. Parler d’accountability c’est en réalité parler de “responsabilisation”.
Le principe d’accountability est une obligation légale issue des articles 5 et 24 du RGPD qui impose à l’entreprise qui collecte des données, de démontrer qu’elle se conforme bien aux différentes obligations dictées par le RGPD.
Ce principe permet d’assurer une véritable traçabilité et transparence vis-à-vis des autorités.
Il impose donc au responsable de traitement de gérer la mise en œuvre des mesures techniques et organisationnelles appropriées dans l’optique de démontrer que le traitement a bien été effectué conformément aux règles européennes.
En effet, il est dit que le responsable du traitement doit être « accountable » ce qui signifie que, le responsable du traitement doit être « capable de “rendre des comptes” en cas de contrôle.
Le principe d’accountability entraîne donc deux missions principales pour le responsable de traitement :
- il doit veiller à la conformité du traitement des données personnelles ( contrôle à priori) ;
- il doit justifier de cette conformité auprès des autorités de contrôle (contrôle à posteriori).
2. Principe d’accountability : qui est concerné ?
Selon les dispositions de l’article 5 du règlement européen, ce principe concerne le responsable de traitement.
Le responsable de traitement désigne toute personne morale (entreprise, collectivité…) ou physique qui détermine les finalités et les moyens de traitement des données qu’elle collecte.
C’est au responsable de traitement (c’est-à-dire généralement le représentant légal de la société) de prouver la conformité de l’entreprise en cas de contrôle.
Les sous-traitants ont eux aussi des responsabilités portant sur la mise en œuvre de mesures ou sur la documentation des traitements. Cependant, les textes relatifs au principe d’Accountability ne semblent viser que les responsables de traitement.
3. Principe d’accountability, portabilité des données et privacy by design : quelles différences ?
Le RGPD consacre deux autres grands principes : le principe de privacy by design et la portabilité des données.
Le principe de Privacy by Design
A l’inverse du principe d’accountability, le principe de Privacy by Design vise à protéger les données personnelles dès la conception.
Les entreprises se voient donc dans l’obligation d’intégrer ce principe de protection des données à caractère personnel dès la mise en œuvre de projets impliquant un traitement de données.
Par conséquent, le principe de Privacy by Design permet d’anticiper les risques d’un éventuel non-respect des exigences du RGPD en insérant des mesures préventives.
Ces mesures consistent à empêcher la collecte de données personnelles sans raison légitime et impliquer la suppression de données personnelles dans une base de données, s’il n’y a pas lieu de les garder par la suite.
Le principe de Privacy by design ne doit toutefois pas se confondre avec le principe de la Privacy by Default.
En effet, ce dernier octroie une marge de manœuvre à l’utilisateur. Il demeure intéressant dans le cadre de l’utilisation d’internet et du développement des applications. Les paramètres par défaut font donc en sorte que la plus grande protection des données possible soit garantie. L’utilisateur pourra alors modifier les paramètres comme il l’entend et se verra notifier les risques de ces changements.
Le droit à la portabilité des données
Pour définir le droit à la portabilité des données, il faut tout d’abord rappeler ce que recouvre la notion de donnée à caractère personnel.
Le caractère large de ce terme peut en effet porter à confusion.
Selon l’article 4 du RGPD, est une donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable ». La personne identifiable est alors « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant ».
Par conséquent, au-delà du prénom, du nom ou de la date de naissance, sera considérée comme une donnée à caractère personnel, une photo, une localisation, une situation familiale, un numéro de sécurité sociale …
Le droit à la portabilité s’exerce donc sur toutes ces données.
Prévu à l’article 20 du RGPD, le droit à la portabilité des données permet de récupérer les données transmises à une plateforme ou à un organisme, que ce soit pour un usage personnel ou en vue de les transmettre à un tiers. Ce droit vise à renforcer le contrôle et la maitrise des utilisateurs sur l’utilisation de leurs données.
Le droit à la portabilité n’est toutefois pas automatique pour toutes les données personnelles. Seules sont concernées celles qui sont collectées :
- par l’organisme et qui concernent directement le demandeur ;
- si le consentement explicite du client a été recueilli ;
- dans le cadre d’un contrat.
Les données anonymes seront par exemple exclues du droit à la portabilité.
4. En pratique : comment se matérialise l’accountability ?
Concrètement, pour répondre au principe d’accountability, l’entreprise devra se pencher sur la rédaction d’une large documentation comme des chartes, des codes de conduite, des procédures ou autres référentiels…
L’ensemble de cette documentation, généralement classée par thème, constitue le “dossier” de conformité ou encore “dossier d’accountability” et peut être conservé sous format électronique ou format papier. C’est l’une des principales missions du DPO.
Ce dossier doit décrire précisément la gouvernance appliquée par l’entreprise sur l’ensemble des données qu’elle traite.
Prenons l’exemple d’une entreprise victime d’une violation des données personnelles qu’elle conserve (suite à une failles de sécurités, une cyber-attaques tels qu’un ransomware…). L’entreprise devra alors prendre des mesures pour faire face à cette violation. Cela passe par plusieurs étapes : appréciation du risque, notification à la CNIL et surtout documentation de cette violation. Cette documentation vise à répertorier la nature des violations, ses effets et les actions mises en place par l’entreprise pour la corriger. Le responsable de traitement devra être en mesure de présenter cette documentation à jour en cas de contrôle de la CNIL.
5. Quel contenu pour un dossier de conformité ?
Selon le contexte , le dossier d’accountability devra comporter une série de documents comme notamment :
- un registre des traitement ;
- une cartographie des traitements et schémas des flux de données ;
- un code d’éthique sur les principes fondamentaux appliqués par l’organisme ;
- une politique de confidentialité interne et externe ;
- la nomination d’un DPO le cas échéant ;
- une politique de gestion des cookies ;
- un formulaires de consentement ;
- modalités de gestion des preuves des recueils de consentements (traçabilité) ;
- le droit des personnes (recueil de consentement, droit à l’oubli, droit à la rectification …) ;
- traçabilité des traitements effectués en réponse aux demandes d’exercice des droits RGPD ;
- une politique de Sécurité des Systèmes d’Informations (PSSI)
Au niveau opérationnel, il faudra s’assurer en interne de l’effectivité et de l’efficacité des mesures et procédures. Cette procédure d’anticipation doit être décrite et formalisée dans le dossier d’accountability. Cela implique pour l’entreprise de prévoir des mesures de protection des données dès leur conception (“Privacy by design” évoqué précédemment). Dans ce cadre, les responsables de traitement devront prévoir d’informer et sensibiliser leurs collaborateurs sur la gestion des risques.
Enfin, les entreprises ne doivent pas hésiter à simuler des attaques fictives afin d’enrichir cette procédure d’anticipation et s’assurer qu’en pratique la procédure encadrée dans le dossier d’Accountability sera en mesure de fonctionner efficacement.
6. Quelles sanctions en cas de non-respect ?
Les sanctions pour le non-respect de cette obligation peuvent être variées :
- Un rappel à l’ordre de la part de la CNIL imposant d’améliorer les processus de protection des données en interne. Cette sanction peut aussi découler sur un arrêt temporaire ou complet du traitement de données non conformes.
- Des sanctions financières : 4% du chiffre d’affaires ou bien 20 millions d’euros, le montant le plus élevé des deux étant retenu.
- Des sanctions réputationnelles : la CNIL n’hésite plus aujourd’hui à publier sur son site les sanctions prises à l’encontre des entreprises non conformes. Au-delà de la sanction financière, c’est l’image de marque et la crédibilité de l’entreprise qui est en jeu.
7. Pourquoi est-il important et recommandé de se faire accompagner par un avocat dans la mise en conformité RGPD de sa société ?
La non conformité des entreprises représente des risques accrus comme vu précédemment.
Un avocat spécialisé en droit des nouvelles technologies sera en mesure de vous aider à centraliser l’ensemble des procédures obligatoires et à regrouper vos documents permettant ainsi de prouver votre mise en conformité.
Il vous permet de garantir pleinement le principe d’accountability en maintenant une traçabilité et un historique dans le temps sur l’ensemble des mesures de conformité RGPD.
La constitution en amont d’un dossier structuré et approfondi vous permet de démontrer que votre entreprise est diligente, qu’elle a anticipé les risques et s’est inscrite dans une dynamique de compliance assidue.
Pour conclure, recourir à l’expertise d’un avocat afin de respecter les grands principes issus du RGPD, vous permet de bénéficier d’un audit sur mesure et d'accueillir sereinement un contrôle potentiel de la CNIL.
Une question ? Laissez votre commentaire