- Déterminez les mesures organisationnelles les plus adaptées à votre entreprise, ainsi que les documents à constituer
- Centralisez l’ensemble des informations et des documents spécifiques à la protection des données à caractère personnel : registre des traitements, registre des demandes des personnes, etc.
- Centralisez les éléments ayant un impact sur la protection des données : CGV d’un hébergeur informatique, contrat de service avec le SIRH, etc.
- Faites état de votre conformité en exportant l’ensemble des documents de l’accountability en un dossier pour faire état facilement de votre conformité à l’égard des autorités ou de vos clients
- Cartographier ses traitements,
- Déterminer les finalités des traitements,
- Informer ses collaborateurs,
- Conserver les données à caractère personnel pendant une durée appropriée,
- Choisir une base légale, par exemple le consentement
Au cœur du RGPD, l’accountability est l’une des évolutions majeures qu’apporte le Règlement Général sur la Protection des données (RGPD). Ce principe se résume de façon très simple : l’entreprise qui traite des données personnelles doit être en mesure de démontrer, à première demande des autorités, qu’elle respecte les obligations du RGPD.
C’est un véritable enjeu majeur pour les entreprises. Il ne s’agit pas d’être simplement en conformité avec la loi, mais d’aller plus loin et de prouver à ses clients, prestataires et prospects que l’entreprise est fiable et respecte les principes de la protection des données personnelles et les droits et libertés individuelles dans leur intégralité (respect des Droits des personnes, prévention & gestion des violations de données, sécurité des données, traitement des données personnelles …).
Pour être en conformité avec le principe d’accountability, une entreprise doit élaborer, documenter et mettre en œuvre les procédures lui permettant de se conformer aux grands thèmes du RGPD telles que le registre des traitements pour gérer les données collectées & traitées, les analyses d’impact, la gestion des demandes de personnes concernées et des violations de données.
Ce principe ne s’arrête pas uniquement au DPO et à sa gestion dans l’entreprise. Il implique également un respect de ces principes auprès de tous les partenaires, sous-traitants, partenaires, collaborateurs, responsable du traitement, Délégué à la protection des Données Personnelles … travaillant avec l’entreprise.