13/10/16

Données personnelles – Episode 2 : l’établissement de normes internes protégeant les données à caractère personnel ou « Accountability »

holding privacy settings smartphoneLe 25 mai 2018, tous les organismes publics et privés devront avoir mis en place l’ensemble des moyens techniques et organisationnels prévus par le règlement européen sur la protection des données personnelles.

Dans l’épisode précédent, nous vous présentions le privacy by design, nouveau mode de régulation du traitement de données à caractère personnel.

Découvrez aujourd’hui le 2e épisode : Saison 1, épisode 2 : Accountability

Le règlement européen sur les données personnelles opère un changement de paradigme dans la régulation du traitement des données à caractère personnel : alors que le système actuel se caractérise par un système de formalités préalables particulièrement lourd (même s’il a été allégé par la mise en place des normes simplifiées, des packs de conformité et par la création des Correspondants Informatiques et Libertés -CIL), voire parfois inefficace, le règlement européen atténue considérablement le poids de ces formalités en contrepartie d’une obligation pour les entreprises et les collectivités d’établir des normes et des politiques internes efficaces. 

Difficilement traduisible à la lettre (« responsabilisation »), ce concept d’origine anglo-saxonne oblige ainsi l’organisme à être proactif en « mettant en œuvre des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». 

En pratique, l’accountability suppose une démarche en deux temps de la part des responsables de traitement. 

D’abord, elle consiste à établir un ensemble de normes internes définissant des règles à respecter à tous les niveaux de l’entreprise. Ces normes devront bien évidemment être adaptées au contexte, aux activités et aux contraintes de l’entreprise ou de la collectivité et être organisées selon une hiérarchie bien définie. 

Il peut s’agir de la tenue d’un registre des traitements, de l’adoption de procédures de gestion des réclamations et d’exercice des différents droits, de protocoles de gestion des incidents et des failles de sécurité, de politiques de sous-traitance ou encore de la désignation d’un représentant pour les entreprises située en dehors de l’Union européenne. 

Mais il ne suffit pas d’adopter des normes internes pour respecter le principe d’accountability, encore faut-il que celles-ci soient efficaces. L’efficacité de ces normes passe d’abord par l’engagement du plus haut niveau de la hiérarchie dans cette démarche d’accountability ainsi que par une sensibilisation et une adhésion de tous les métiers de l’entreprise via la diffusion et la mise à jour de différentes politiques de gestion de données personnelles et des formations internes ou externes régulières.

L’entreprise et les collectivités doivent également être en mesure de sanctionner le non-respect de ces normes afin d’en assurer leur efficacité. Des audits réguliers et des systèmes d’alerte organisés (sur l’exemple des « whistleblowing ») permettront d’identifier les éventuelles non-conformités.

L’ensemble de ces procédures devront être adoptées et mises en place avant le 25 mai 2018, date d’entrée en application du règlement. Elles devront par la suite être régulièrement révisées, modifiées et adaptées.

Afin de définir un plan d’actions, les entreprises et collectivités devront nécessairement identifier et passer en revue l’ensemble des politiques internes déjà existantes, par le biais d’un audit qui permettra de prioriser les actions à mettre en œuvre, afin d’être en situation de conformité le 25 mai 2018. L’implémentation de la norme interne et l’instauration d’un système de gouvernance constituent un gage de confiance pour l’entreprise : la démonstration de la conformité, via des labels par exemple, constitue un moyen efficace d’affirmer son attachement à la protection des données à caractère personnel, devenue un enjeu de crédibilité vis-à-vis des clients, des usagers ou des adhérents*


* 35ème rapport d’activité CNIL 2014

A suivre

 

Dans le prochain épisode, nos experts analyseront les enjeux pratiques liés à l’obligation de désigner un délégué à la protection des données.

Retrouvez ici notre site internet dédié à la protection des données personnelles.

Lire aussi :
Découvrez notre série de la rentrée : « LES EXPERTS : Données personnelles »


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *