Extrait de l’article « Le principe de responsabilité imposé au RSSI »

Ecrit par Garance Mathias – Paru dans Solutions IT N°1 en Juin 2014 – Pour lire l’intégralité de l’article, cliquez ici.

Le principe d’accountability

Dans le cadre des débats sur la proposition de règlement européen qui imposera des sanctions considérables en cas de non-respect des dispositions de la loi Informatique et Libertés, le RSSI doit prendre la mesure des enjeux juridiques. Parmi les nouvelles obligations qui seraient imposées, on trouve le principe d’accountability.

Le principe d’accountability consiste en l’obligation pour le RSSI de prouver aux autorités de contrôle chargées de la protection des données personnelles ou encore aux personnes concernées par les traitements que son entreprise respecte la législation en vigueur. Il s’agit donc d’assurer une traçabilité et une transparence au sein de l’entreprise.  Le RSSI devra ainsi adopter des règles internes et mettre en œuvre les mesures appropriées pour garantir que le traitement des données à caractère personnel est effectué dans le respect du règlement.

L’accountability dans la pratique

Sur le plan matériel, l’accountability se traduit par la rédaction d’une documentation interne à l’entreprise ou à l’administration (politiques de respect de la vie privée, politiques contractuelles avec les sous-traitants, principe du besoin d’en connaître, etc.). Les politiques internes devront être organisées selon une hiérarchie bien définie, au sommet de laquelle on trouvera généralement un document comportant les principes fondamentaux que l’entreprise s’engage à respecter à l’occasion des traitements de données à caractère personnel.

Le RSSI devra également veiller à faire réaliser une analyse d’impact relative à la protection des données préalablement à la mise en œuvre de traitements à risque, comme prévu par l’article 33 du projet de règlement.  Il devra également s’assurer de l’acceptation expresse, en toute conscience, du risque résiduel par ses supérieurs hiérarchiques.

En cas de non  respect du principe d’accountability, le projet de règlement européen prévoit des sanctions conséquentes.  Il est en effet prévu, dans le projet de règlement actuel, une amende pouvant s’élever à 1 000 000 euros ou, dans le cas d’une entreprise, à 2 % de son chiffre d’affaires annuel mondial, qu’il s’agisse d’un manquement délibéré ou par négligence.

Dans le cadre de notre offre Law2innovate, nous conseillons nos clients pour leurs démarches en conformité. Pour en savoir plus vous pouvez visiter notre site destiné aux startups et aux chefs d’entreprises innovants : www.law2innovate.com.