GDPR et responsabilité
La responsabilité est l’un des sept principes du GDPR. Le principe de responsabilité exige que les responsables du traitement des données prouvent qu’ils sont conformes au GDPR. Le respect du principe de responsabilité nécessite des mesures techniques et organisationnelles appropriées des évaluations régulières de la confidentialité des données et une tenue de registres appropriée.
En bref, les responsables du traitement et les sous-traitants doivent assumer la responsabilité de la façon dont ils traitent les données personnelles et se conformer aux autres principes. principe d’accountability
Ce que signifie le principe d’imputabilité
L’article 5, paragraphe 2, du GDPR stipule que « Le responsable du traitement est responsable du respect du paragraphe 1 (« imputabilité ») et est en mesure de démontrer sa conformité à celui-ci [c’est nous qui soulignons] ».
On peut donc décomposer l’imputabilité en deux parties :
- Responsabilité de la conformité : Être proactif et systématique en matière de protection des données personnelles.
- Démontrer la conformité : Montrer la preuve et la justification des mesures que votre organisation a prises pour être conforme au GDPR.
Le principe de responsabilité se trouve également dans l’article 24, qui exige que les responsables du traitement « mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au présent règlement. »
En bref, si vous traitez des données personnelles, vous êtes responsable et redevable de la protection de ces données.
Comment démontrer la responsabilité
La façon dont une organisation doit démontrer sa responsabilité dépend de plusieurs facteurs, notamment :
- Type de données collectées et traitées
- Taille de l’organisation
- Sensibilité des données
- Risques pour les droits et libertés des personnes
Le RGPD ne précise pas les mesures qu’une organisation doit prendre pour faire preuve de responsabilité. Cependant, certaines étapes pourraient inclure :
- Mettre en place une structure de gouvernance des données
- Compléter une analyse des lacunes
- Créer une carte des données
- Former les membres du personnel sur le règlement sur la confidentialité des données
- Réaliser des évaluations d’impact sur la vie privée pertinentes, y compris les évaluations d’impact sur la protection des données (DPIA) et les évaluations des intérêts légitimes (LIA)
- Nommer un délégué à la protection des données (DPO) si nécessaire
- Mettre à jour les politiques et les avis de confidentialité des données en tenant compte des principes du GDPR
- Tenir un registre des activités de traitement (ROPA), y compris les enregistrements des consentements et des violations de données personnelles
- Utiliser des addenda de traitement des données pour tous les fournisseurs tiers
- Gestion et enregistrement des demandes d’accès des personnes concernées
Responsabilité par conception et par défaut ?
L’ICO recommande aux organisations d’adopter une protection des données par conception et par défaut car cette approche conduira naturellement à la responsabilisation et à la conformité. La protection des données par conception et par défaut signifie simplement que la confidentialité des données est prise en compte et que des politiques appropriées sont mises en œuvre pour chaque étape du parcours de traitement des données – de la collecte à leur suppression éventuelle.
La législation du RGPD recommande plusieurs mesures qu’une organisation peut prendre pour assurer la confidentialité des données par conception et par défaut. Il s’agit de :
- Minimiser la collecte des données
- Pseudonymisation
- Transparence
- Améliorer les fonctions de sécurité
Conclusion : Le GDPR est un sujet complexe qui demande beaucoup d’efforts aux entreprises, il est crucial pour elles de suivre les instructions et de désigner un DPD.
