Bien qu’intraduisible en français, le principe d’« accountability » est pourtant une notion phare du RGPD. Il traduit pour certains pays comme la France un véritable changement de philosophie. Les organisations étaient jusqu’à présent soumises à un formalisme strict en amont des traitements des données. Le RGPD impose une autre logique : elles doivent désormais démontrer qu’elles ont bien pris en compte un certain nombre d’engagements assurant la protection des données.
La notion
Issue du monde anglo-saxon, la notion d’accountability se rapproche de celle de responsabilité sans pour autant se confondre totalement avec elle. Selon cette notion, une personne est non seulement responsable des événements qui se produisent mais est également tenue de pouvoir donner une raison satisfaisante pour les actions réalisées. L’idée est d’obliger à être « comptable de son action ».
Le contrôle est exercé par l’entreprise elle-même ; elle doit :
> se doter des moyens internes pour assurer le respect de la norme
> documenter l’ensemble de ses actions afin de s’expliquer, a posteriori, sur celles-ci.
L’accountability trouve dans le domaine de la protection des données personnelles un champ d’application particulièrement adapté. Dans une économie numérique en constante extension, les situations de traitement des données sont en croissance exponentielle. Mettre en place un trop grand formalisme aurait été trop fastidieux pour les entreprises comme pour les autorités de régulation. La Directive 95/46/CE qui composait jusqu’à présent le cadre européen de la protection des données préconisait l’exécution de formalités préalables. Le règlement européen rompt avec cette approche et préfère imposer aux entreprises une nécessité de mettre en place des moyens permettant d’accroître leur vigilance dans le traitement de leurs données.
Si le terme d’accountability est rarement utilisé par le règlement, la notion transparaît dans la plupart de ses dispositions. L’article 24 résume ce concept : « (…) le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. ».
Dans un premier temps, les entreprises sont tenues de réaliser une auto-évaluation quant aux traitements des données. Cette évaluation se fait en fonction :
• Des éléments contextuels tels que la nature des données, la taille de l’entreprise ou son environnement.
• Du niveau de risque pour les droits et libertés des personnes physiques avec un degré de probabilité de survenance de ces risques.
Dans un deuxième temps, en fonction de cette évaluation, les entreprises mettent en œuvre :
• Des mesures techniques assurant sécurité et confidentialité des données : pseudonymisation, chiffrement des données, outils de prévention contre la fuite d’information, etc.
• Des mesures organisationnelles : politiques de collecte, de stockage des données, de durée de conservation, de notification des failles, etc.
Les limites
La mise en œuvre de l’accountability n’est pas toujours aisée pour les entreprises. Le règlement impose de “rendre compte” sans pour autant fournir des indicateurs précis et chiffrés. Chaque entreprise choisit ses propres critères d’évaluation.
Par ailleurs, le principe d’accountability ne s’applique pas à tous les cas de traitement de données. S’agissant des données sensibles par exemple, confier aux seules entreprises le soin d’évaluer les risques aurait été périlleux. C’est pourquoi, le législateur, conscient des limites, a choisi de mettre en place un mécanisme de contrôle renforcé lorsqu’il existe un risque élevé d’atteinte aux libertés et droits fondamentaux des individus. Ce risque doit apparaître à la suite de l’étude d’impact (article 35). Le responsable du traitement est alors tenu de consulter l’autorité de contrôle et de lui communiquer tous les documents nécessaires (article 36).
L’auteur
Pendant plus de dix ans, Romain de Monza a accompagné
différentes entreprises et organisations dans leurs projets
de transformation numérique. Depuis fin 2016, il est titulaire
du Certificat d’Aptitude à la Profession d’Avocat (CAPA)
et spécialisé dans le droit des nouvelles technologies.