Dans le contexte de la protection des données à caractère personnel, on entend par Accountability une obligation de rendre compte et d’expliquer, avec une idée de transparence et de traçabilité permettant d’identifier et de documenter les mesures mises en œuvre pour se conformer aux exigences issues de la réglementation Informatique et libertés.
Elle sous-tend également l’obligation de responsabilité touchant à l’idée, pour le responsable de traitement, d’être garant d’un résultat, de l’effectivité de la protection des données et de la vérifiabilité des mesures prises.
Ce principe implique donc non seulement l’obligation du responsable du traitement de se conformer aux règles applicables, mais également celle de pouvoir démontrer aux autorités ou aux personnes concernées comment il s’y tient. Les textes vont évoluer vers une obligation d’accountability de la protection des données personnelles.
L’article 22 du projet de règlement européen visant à réformer la directive n° 95/46/CE relative à la protection des données à caractère personnel impose, en effet, au responsable du traitement d’adopter des règles internes et de mettre en œuvre les mesures appropriées pour garantir, et être à même de démontrer, que le traitement des données à caractère personnel est effectué dans le respect de la réglementation Informatique et libertés.
La mise en pratique du principe d’accountability en matière de protection des données se traduit ainsi notamment par :
- la mise en place de procédures efficaces pour assurer la conformité de l’entreprise avec la réglementation Informatique et libertés ;
- la mise en place d’une politique SIF (sensibilisation- information-formation) en matière de protection des données à l’attention du personnel ;
- la réalisation d’un audit Informatique et libertés destiné à évaluer le niveau de conformité des traitements mis en œuvre à la réglementation Informatique et libertés et à identifier les mesures correctives à implémenter afin de réduire les écarts de conformité ;
- la mise en place d’une équipe dédiée en matière de protection des données (data pricacy officer, etc.) ;
- l’adoption de l’approche Privacy by Design ;
- l’adoption et l’implémentation de Binding Corporate Rules pour encadrer les flux transfrontières de données ;
- la tenue d’une documentation sur les traitements effectués ;
- la réalisation d’une analyse de l’impact des traitements envisagés sur la protection des données à caractère personnel.