Si, historiquement, la loi Informatique et Libertés a fait de la « déclaration CNIL » un de ses piliers, le RGPD préfère une logique interne de responsabilisation et de transparence que vous retrouverez fréquemment sous le terme anglais « accountability ».
En effet, avec le loi informatique et liberté, votre organisme avait l’obligation d’effectuer des formalités préalables auprès de la CNIL avant la mise en œuvre d’un traitement de données personnelles. Concrètement, cette loi exigeait que tout traitement de données personnelles fasse l’objet de formalités préalables telles que des obligations d’information par le biais de divers types de déclarations (déclarations normale, simplifiée, de modification, de suppression, CNIL unique). Au-delà de ces déclarations s’ajoute le régime des autorisations de la CNIL.
Il était parfois difficile d’appréhender le type de déclaration à faire. En introduisant le RGPD dans le droit français, la loi du 20 juin 2018 a simplifié, le plus souvent en les supprimant, les formalités préalables, qu’il s’agisse des obligations de déclaration ou d’autorisation.
La CNIL, appliquant le RGPD, impose une logique interne de responsabilisation à savoir l’obligation pour votre organisme de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données (article 24 du RGPD).
Ainsi, le RGPD établit une obligation de conformité continue. Chaque structure doit s’efforcer d’y répondre en protégeant les données avant de les traiter. Le responsable du traitement est chargé de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement.
Autrement dit, le principe d’accountability a pour objectif principal de rendre compte de la mise en place des mesures adéquates de votre organisme pour être en conformité au cadre posé par le RGPD. Il est nécessaire que les acteurs concernés soient parfaitement rigoureux et qu’ils justifient leur conformité par une documentation fournie et précise.
Concrètement, les mesures essentielles permettant de le démontrer sont notamment :
- la formation et la sensibilisation du personnel au RGPD,
- la réduction de la quantité des données collectées,
- la tenue du registre des traitements,
- l’évaluation régulière du niveau de protection des données,
- la mise en œuvre d’analyse d’impact avant toute nouvelle collecte de données,
- La désignation d’un DPO.
S’agissant de l’analyse d’impact, elle est effectuée en cas de risque élevé pour les droits et libertés de la personne concernée. Les résultats qu’elle produit peuvent vous amener à consulter la CNIL.
Ainsi, pour certains types de traitements en raison de la sensibilité particulière des données traitées, des articles spécifiques du RGPD autorisent des régimes dérogatoires nationaux pouvant inclure des procédures au titre de garanties ou de conditions supplémentaires.
Il en va ainsi notamment pour le traitement :
- Des données génétiques, des données biométriques ou des données concernant la santé (article 9 § 4 du RGPD)
- Des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes (article 10 du RGPD)
- Effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercé par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique (article 36 § 5 du RGPD)
- D’un numéro d’identification national ou de tout autre identifiant d’application générale (article 87 du RGPD)
- Des données à caractère personnel mis en œuvre pour le compte de l’Etat et qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique.
Le RGPD repose sur cette logique de responsabilisation avec un système de contrôle a posteriori. Le traitement des données n’est plus confirmé ou infirmé par la CNIL mais réfléchi en amont, avant sa conception. Tout cela doit se faire en lien avec le DPO.
La logique de responsabilisation (accountality) garantit aux usagers, aux salariés et aux partenaires le respect de leur liberté au regard de leurs données à caractère personnel, c’est un engagement de bonne conduite et de déontologie de la part de votre organisme.
La contrepartie de la responsabilisation des gestionnaires est un pouvoir de sanction très significativement plus fort entre les mains de la CNIL. La garantie de la mise en place des mesures adéquates pour la protection des données est donc devenue un point essentiel pour assurer la conformité de votre organisme aux règles de ce texte européen. Le Cabinet ACCENS vous accompagne vers ce nécessaire changement de culture.
