accountability » (notamment mentionnée aux articles 5 et 22 du RGPD) désigne l’obligation pour tout responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que les traitements de données à caractère personnel sont effectués conformément au RGPD et être en mesure de le démontrer. Le responsable de traitement concerné doit donc non seulement (i) prendre des mesures efficaces et appropriées afin de se conformer au RGPD mais également (ii) identifier et documenter les mesures mises en œuvre afin de pouvoir– si l’on traduit littéralement la formule - « rendre des comptes » aux autorités et leur permettre ainsi de vérifier l’efficacité des mesures prises et l’effectivité de la protection des données.

On abandonne ainsi désormais la logique de « formalités préalables » et d’autorisations effectuées auprès de la CNIL en amont de la mise en œuvre d’un traitement au profit d’une logique de responsabilisation et de traçabilité afin de permettre un contrôle en aval par les autorités compétentes. Si les grands principes de la loi Informatique et Liberté demeurent (et sont même renforcés), cette logique d’accountability doit se traduire par un changement de culture interne qui nécessite de mobiliser toutes les compétences de l’entreprise (DSI, prestataires, services juridiques, directions métier) afin de permettre une gouvernance efficace des données.

1. Comment se montrer responsable ?

Afin de garantir un haut niveau de protection des données personnelles en permanence, les responsables de traitement doivent organiser les procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des évènements qui peuvent survenir au cours de la vie d’un traitement, dont notamment les procédures suivantes :

2. Comment « rendre compte » ?

Le second volet du principe d’accountability consiste, pour le responsable de traitement, à rendre des comptes et être en mesure d’expliquer et prouver les mesures de protection des données mises en œuvre. Le responsable de traitement doit alors constituer et regrouper la documentation nécessaire (qui doit être présentée aux autorités de contrôle sur simple demande) afin d’assurer la traçabilité des mesures prises, dont notamment la documentation suivante :