Traduit de l'anglais-
L'accountability désigne l'obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l'organisme qui l'a désigné s'agissant de l'ensemble des traitements mis en œuvre par cet organisme. Sa désignation est obligatoire dans certains cas.
La logique de responsabilisation : La structure doit prendre toutes les mesures nécessaires pour garantir la conformité de la gestion des données et surtout être capable de le démontrer à tout moment. Pour cela, un registre doit être tenu à jour répertoriant l'ensemble des traitements effectués sur les données.
La CNIL peut sanctionner le non-respect du RGPD par des sanctions administratives. Ces dernières doivent être proportionnées et dissuasives. Elles tiennent compte des critères suivants : La gravité et la durée de la violation.
Le référent RGPD est en effet un expert en protection des données personnelles. Il possède les connaissances juridiques et techniques nécessaire à votre conformité RGPD. De plus, il doit régulièrement se mettre à jour afin de maîtriser tous les changements de législation.
La désignation d'un Délégué est obligatoire pour : Les autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics). Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle.
Le Privacy by Design implique donc une prise en compte de la protection de la vie privée des utilisateurs avant même la conception d'un système impliquant le traitement de données personnelles. Le Privacy by Default est un principe s'appliquant une fois qu'un produit ou service a été rendu public.
Pour ce faire, les responsables du traitement doivent documenter les conditions de recueil du consentement. La documentation doit permettre de démontrer : la mise en place de mécanismes permettant de ne pas lier le recueil du consentement, notamment à la réalisation d'un contrat (consentement « libre »)
Or, le transfert de données hors de l'Union européenne (UE) et de l'Espace Economique Européen (EEE) est possible, à condition d'assurer un niveau de protection des données suffisant et approprié. Ces transferts doivent être encadrés en utilisant différents outils juridiques.
Avec le RGPD (Règlement Général sur la Protection des Données), le montant des sanctions pécuniaires peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4 % du chiffre d'affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
L'article 37 du RGPD prévoit la désignation d'un DPO dans 3 cas précis : Lorsque le traitement de données à caractère personnel est effectué par une autorité ou un organisme public. Il peut s'agir d'une autorité nationale, régionale ou locale.
La CNIL s'engage à ce que les traitements de données personnelles effectués sur cnil.fr soient conformes au règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés.
Qui la CNIL peut-elle contrôler ? La CNIL peut effectuer des contrôles auprès de tout organisme traitant des données personnelles disposant d'un établissement en France, ou concernant des personnes résidant en France.
La Commission Nationale de l'Informatique et des Libertés (CNIL) a été créée par la loi Informatique et Libertés du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.
Pour faire valoir ses droits informatique et libertés, il faut d'abord s'adresser directement aux organismes qui détiennent vos données. En cas de difficultés, de réponse insatisfaisante ou d'absence de réponse, vous pouvez saisir la CNIL.
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu'elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l'Union Européenne. Il est entré en application le 25 mai 2018.
Qui intervient dans la réalisation d'une analyse d'impact ? Le responsable de traitement est tenu par l'obligation de s'assurer de la conformité de son traitement au RGPD. S'il a désigné un délégué à la protection des données, il lui demande conseil et le charge de vérifier l'exécution de l'AIPD.
Elle est obligatoire lorsqu'un traitement de données est susceptible d'entrainer un risque élevé pour la vie privée des personnes concernées. Le RGPD PIA vous oblige donc à mettre en place des traitements qui respectent les droits et libertés des personnes concernées.
La méthodologie des analyses d'impact
Une analyse d'impact se réalise en trois temps. Il faut premièrement s'assurer que le traitement est bien conforme au RGPD. Ensuite il faut évaluer les risques encourus au regard des droits et libertés des personnes (cartographies de risques).