Bud P. Bruegger (ULD)
Remerciements : L’auteur remercie Johann Čas et Walter Peissl (tous deux de l’OEAW) pour leur contribution à l’analyse de ce principe, qui a servi de base à la description présentée ici. |
Les paragraphes suivants traitent du principe de responsabilité défini à l’art. 5(2) duRGPD.
La responsabilité en quelques mots : La responsabilité consiste en deux exigences pour les responsables du traitement :
La conformité est obtenue en mettant en œuvre des mesures techniques et organisationnelles qui sont adéquates par rapport aux risques pour les droits et libertés des personnes concernées, qui correspondent à l’état de l’art de la technologie et qui sont rentables. Chaque description des principes a fourni des exemples de telles mesures techniques et organisationnelles. Pour une application systématique de ces mesures, les responsables du traitement peuvent créer des politiques de protection des données. Les codes de conduite approuvés, lorsqu’ils existent, sont similaires mais sont pré-approuvés et s’adressent généralement à un secteur entier. La conformité n’est pas un état que l’on atteint une fois, mais un processus continu qui s’étend sur tout le cycle de vie d’une activité de traitement. La démonstration de la conformité sefait principalement par la documentation (voir la section “Documentation du traitement” dans “Principaux outils et actions”). La documentation doit être continue comme le processus de conformité. Chaque mesure mise en œuvre, y compris les considérations et les décisions relatives à la protection des données, doit être documentée. Le RGPD exige deux documents formels pour démontrer la conformité aux autorités de contrôle : le registre des traitements (voir “Documentation du traitement” pour plus de détails) et, lorsque les risques sont susceptibles d’être élevés, une analyse d’impact sur la protection des données (voir la section du même nom dans “Principaux outils et actions” dans la partie II pour plus de détails). La certification peut aider à démontrer la conformité. |