Points de vue

Les 10 principes du GDPR. #2 La responsabilité

Que doivent faire les organisations pour assumer leur responsabilité en matière de traitement des données ?

Le principe de responsabilité vise à garantir le respect des principes relatifs à la protection des données. Il implique un changement culturel favorisant la transparence de la protection des données, des politiques de protection de la vie privée et du contrôle des utilisateurs, de la clarté et des procédures d’opérationnalisation de la protection de la vie privée en interne, ainsi qu’un degré élevé de responsabilité concrète envers les parties prenantes extérieures et les autorités de protection des données.

Auteur : Sebastian le Cat

Le principe de responsabilité

Le Règlement général relatif à la protection des données (General Data Protection Regulation ou GDPR) introduit un nouveau principe dans les règles de protection des données en Europe : le principe de responsabilité. Il impose au responsable de traitement des données de s’assurer que tous les principes de protection de la vie privée soient respectés. Il impose par ailleurs à votre entreprise de pouvoir démontrer qu’elle respecte l’ensemble de ces principes. Quel cheminement votre entreprise doit-elle alors suivre pour instaurer une telle culture et prouver sa responsabilité ?

Tout d’abord, l’organisation doit connaître les principes à respecter. Le GDPR énonce six principes: la licéité, la loyauté et la transparence, la limitation des finalités, la minimisation des données, l’exactitude, la limitation de la conservation, l’intégrité et la confidentialité. L’un des meilleurs moyens de garantir leur respect consiste à vérifier si votre structure de gouvernance interne relative à la protection de la vie privée est mise en place correctement et complètement.

Les voies d’intégration de ces principes transparaissent en filigrane tout au long du GDPR. Le texte précise par exemple que votre entreprise doit mettre en œuvre des mesures techniques et opérationnelles adéquates. Certaines des (nouvelles) mesures mentionnées dans le GDPR sont : des processus/politiques documentés, la réalisation d’analyses d'impact relatives à la protection des données (Data Protection Impact Assessments ou DPIA), la suggestion de méthodes de sécurité des données, la protection des données dès la conception et par défaut, l’obligation d’avoir un délégué à la protection des données (Data Protection Officer ou DPO) pour le traitement des données à caractère personnel à grande échelle et la tenue d’un registre des traitements. Une attention particulière est accordée au code de conduite (sectoriel) et à l’auto-certification, à la notification d’une violation des données et aux exigences de transparence.

Un changement culturel et organisationnel

Une structure de gouvernance solide est cruciale pour uniformiser la protection de la vie privée et développer la protection des données dès la conception et par défaut. Pour induire un changement culturel et organisationnel qui garantisse le respect du GDPR dans votre entreprise, l’adhésion des parties prenantes est très importante. En concevant des directives internes pour vos collaborateurs, vous garantissez le respect des obligations légales en matière de traitement et de sécurisation des données. Prévoyez des formations et des programmes de sensibilisation pour toutes les personnes impliquées dans le traitement de données à caractère personnel. Votre organisation peut également envisager d’adhérer à un code de conduite sectoriel ou d’instaurer des directives internes et un processus de révision pour l’analyse des données.

L’adhésion à un code de conduite sectoriel peut démontrer la conformité à la règlementation, notamment si les certifications sont émises par des entités spécialisées en la matière. Ces mécanismes qui ne sont pas imposés par le GDPR sont toutefois fortement recommandés. Élaborer vos propres normes d’éthique relatives au traitement des données à caractère personnel peut contribuer aussi à votre démarche de prise de responsabilité. Les risques que représentent les nouvelles initiatives doivent être évalués à l’aune des bénéfices potentiels. Les questions liées à la légalité des actions doivent amener à s’interroger sur la réelle volonté de les mettre en œuvre et la perception qu’en auront les clients, afin de garantir une utilisation éthique des données.

Le GDPR contraint par ailleurs votre organisation à tenir un registre interne de toutes vos activités de traitement. Votre organisation doit notamment consigner les finalités du traitement et décrire les mesures de sécurité techniques et organisationnelles.

Le GDPR a introduit une nouveauté : l’obligation de désigner un délégué à la protection des données (DPO) au sein de votre entreprise. Bien qu’il ne soit obligatoire que dans certains cas, le DPO peut surveiller les activités de votre organisation et les activités de traitement pour vous aider à vous conformer au GDPR.

Conclusion

Dans le cadre du GDPR, le principe de responsabilité revêt une nouvelle importance. Votre organisation est non seulement tenue de respecter les principes énoncés dans le GDPR, mais elle doit aussi prouver que c’est bien le cas. Pour respecter le principe de responsabilité, elle a besoin d’une structure de gouvernance complète. Respecter le principe de responsabilité implique de faire évoluer la culture et l’organisation de votre entreprise. Grâce à des mesures techniques et organisationnelles solides, votre entreprise pourra démontrer qu’elle respecte le GDPR.

Cela vous a-t-il été utile ?