L’accountability est l’une des notions les plus importantes du RGPD. Pour faire simple, c’est un ensemble de bonnes pratiques destinées à améliorer la protection des données et permettant de démontrer aisément l’efficacité des mesures prises. Qui est concernée par cette obligation ? Et quelles sont ses applications pratiques ?

Accountabiliy : pour qui ?

L’accountability (ou démontrabilité) est une obligation qui pèse au responsable du traitement. Elle lui impose de revoir l’ensemble des règles internes de l’entreprise pour pouvoir mettre en place de nouvelles, offrant une plus grande protection des données personnelles. Cette réorganisation doit aussi permettre de démontrer aisément le respect du RGPD.

Les principes de base

Le principe d’accountability n’est pas une nouveauté dans le domaine de la protection des données ? Plusieurs textes y faisaient déjà référence avant le RGPD : les lignes directrices de l’OCDE en 1980, la norme ISO 29100 ou encore le Standard de la conférence internationale de Madrid. Dans le RGPD, le principe d’accountability est basé sur 3 grands principes :
La prise de mesures pour se conformer au RGPD : loyauté, transparence des traitements, respect du principe de finalités, exactitude des données, respect des délais de conservation…
La preuve que des mesures appropriées ont été effectivement prises ;
Flexibilité : actualisation et amélioration continue des mesures mise en place ;

L’accountability en pratique

La mise en œuvre du principe d’accountability suppose la mise en place de plusieurs mesures techniques et organisationnelles choisies au cas par cas (consigne du G29). Selon le cas donc, le principe d’accountability peut se traduire par :

    • La pseudonymisation et le cryptage des données personnelles, surtout si les données en cause sont sensibles (informations bancaires, condamnation, courant religieux…) ;
    • La revue de la politique de confidentialité (analyse des systèmes de traitement des données, mesures pour limiter les risques de fuite…) ;
    • La mise en place de procédure permettant de vérifier régulièrement l’efficacité des mesures de sécurité ;
    • L’inventaire des traitements ;
    • La désignation d’un DPO ;
    • La formation et la sensibilisation régulière du personnel au nouveau règlement sur la protection des données ;

Rappelons que le non-respect du principe d’accountability peut entrainer de graves sanctions.