Principe de responsabilité du RGPD : un changement de mentalité
La responsabilité n’est pas un nouveau concept dans le domaine de la protection des données. La directive existante régissant la protection des données dans l’Union européenne intègre les principes de transparence et d’équité, et exige des entreprises qu’elles soient responsables du traitement de leurs données à caractère personnel.
Toutefois, le Règlement général sur la protection des données (RGPD) codifie explicitement le principe de responsabilité dans l’article 24, qui exige que les entreprises mettent en œuvre des « mesures techniques et organisationnelles appropriées » pour être en mesure de « démontrer » leur conformité au règlement. Cela comprend « la mise en œuvre de politiques appropriées en matière de protection des données », et l’entreprise est en outre tenue d’examiner et de mettre à jour ces mesures si nécessaire.
De ce fait, on s’attend à ce que davantage d’entreprises fassent des programmes de conformité en matière de protection des données et des systèmes de gestion de la confidentialité un aspect central de leurs pratiques de protection des données.
Les concepts de protection des données dès la conception et de protection des données par défaut sous-tendent le principe de responsabilité et sont au cœur du changement de mentalité que le RGPD vise à atteindre.
Les mesures spécifiques qu’une entreprise devrait adopter pour attester de sa conformité dépendront de la nature de l’entreprise, de sa taille et de sa structure, ainsi que du traitement des données qu’elle effectue. De toute évidence, il ne s’agit pas d’une approche unique et les mécanismes de conformité peuvent varier. Mais la portée plus large du principe de responsabilité est d’exiger des entreprises qu’elles assument l’entière responsabilité de la protection de leurs données, tout au long du cycle de vie des données qu’elles gèrent avec leurs sous-traitants.
Le RGPD exige une approche plus proactive et plus globale que le cadre juridique existant. L’adoption de ce changement sera au cœur de la conformité d’une entreprise et exigera une vision plus globale. La protection des données devrait être considérée comme une composante essentielle dès la conception initiale d’un produit ou d’un service jusqu’à la fin du cycle de vie des données.
Concrètement, le principe de responsabilité signifie qu’une entreprise agissant en tant que responsable du traitement peut devoir mettre en œuvre certaines des pratiques clés suivantes :
- Tenir des registres plus complets des activités de traitement, comme les finalités du traitement, la nature des données, les catégories de destinataires, les catégories de personnes concernées, tout transfert de données à caractère personnel à l’étranger, y compris la documentation relative aux garanties appropriées, les délais d’effacement des données et une description générale des mesures de sécurité techniques et organisationnelles appliquées aux activités de traitement.
- Assurer une communication efficace et transparente avec les personnes concernées en ce qui concerne le traitement de leurs données à caractère personnel et leurs droits.
- Effectuer un examen complet des formulaires d’abonnement et de demande, des avis de confidentialité et de toute autre condition pertinente du site Web.
- Examiner la manière dont les éventuels consentements sont recueillis auprès des personnes concernées afin de s’assurer qu’ils sont suffisamment clairs, précis, donnés librement et qu’ils peuvent être facilement révoqués.
- Veiller à la mise en œuvre de mesures techniques et organisationnelles appropriées pour protéger comme il convient les droits et libertés des personnes concernées. De plus, s’assurer que tous les sous-traitants fournissent des garanties suffisantes pour que ces mesures de protection soient transmises aux tiers travaillant en votre nom.
- Examiner les accords de traitement des données pour s’assurer que vous intégrez les dispositions obligatoires du RGPD, telles que les obligations d’assistance en matière de droits des personnes concernées, les évaluations d’impact sur la sécurité et la protection des données, et traiter la nomination de sous-traitants.
- Le cas échéant, certaines entreprises doivent désigner un délégué à la protection des données chargé de contrôler leur conformité et d’agir en tant que point de contact pour les clients sur les questions de protection des données.
- Les entreprises doivent être en mesure d’identifier les domaines dans lesquels le traitement est susceptible d’entraîner des risques élevés, afin de pouvoir procéder à une étude d’impact sur la protection des données pour évaluer la nature des risques et mettre en œuvre les mesures de sécurité nécessaires.
La responsabilité n’est pas un principe qui ne peut être adopté qu’une seule fois. Elle devrait devenir un élément central de la façon dont une entreprise envisage la protection des données à long terme et nécessitera un engagement en faveur d’une approche proactive et systémique.
Chaque entreprise devra examiner ses propres processus et procédures dans cette optique. Mais pour une entreprise, le changement de mentalité exigé par le principe de responsabilité constituera un pas important vers la mise en conformité avec le RGPD.
Pour plus d’informations, vous pouvez consulter notre guide de préparation au RGPD, qui contient des conseils sur le RGPD (en anglais) et sur la façon dont nous donnons à nos utilisateurs les moyens de démontrer leur conformité.
Veuillez noter que cet article est fourni à titre d’information seulement et ne doit pas être considéré comme un avis juridique. Veuillez contacter Bristows LLP (www.bristows.com) pour en savoir plus.