L’accountability est un processus de mise en conformité d’une entreprise à la réglementation Informatique et libertés.
Grâce à un ensemble de règles contraignantes, d’outils et de bonnes pratiques correspondantes (1), le responsable du traitement peut s’acquitter de son obligation de rendre des comptes.
L’accountability consiste également en un mécanisme permettant de démontrer l’efficacité des mesures prises et l’effectivité de la protection des données.
Accountability : les acteurs concernés
Le règlement sur la protection des données (RGPD) impose au responsable du traitement d’adopter des règles internes et de mettre en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect de la réglementation Informatique et libertés (2).
Accountability : la mise en œuvre
Principe. L’obligation d’accountability implique pour le responsable du traitement :
- de prendre des mesures efficaces et appropriées afin de se conformer au règlement européen ;
- d’apporter la preuve, sur demande de l’autorité de contrôle, que les mesures appropriées ont été prises.
Mise en pratique. Certaines mesures sont décrites dans le règlement général sur la protection des données (3)à savoir notamment :
- l’adoption de règles internes ;
- l’obligation de conserver une trace documentaire de tout traitement effectué sous la responsabilité du responsable du traitement ou du sous-traitant ;
- la réalisation d’une analyse d’impact pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées ;
- l’adoption de l’approche « Privacy by design » ;
- la désignation d’un délégué à la protection des données.
L’accountability passe également par un renforcement des pouvoirs de sanction de l’autorité de contrôle.
Synthèse. L’ensemble des obligations découlant du concept d’accountability qui devront être mis en œuvre par les entreprises et organismes publics peuvent se schématiser comme suit :
Chloé Torres
Lexing Informatique et libertés
(1) Chloé Torres, Post du 24-10-2012.
(2) Règlement (UE) 2016/679 du 27-4-2016, art.24
(3) Règlement (UE) 2016/679 du 27-4-2016, art.24