Dans la section “Comprendre la protection des données : le règlement européen en quelques mots” ci-dessus, la responsabilité totale des responsables du traitement a été présentée comme la première de plusieurs mesures prises par le RGPD pour limiter le pouvoir acquis par le responsable du traitement par le biais du traitement et l’équilibrer avec le pouvoir des personnes concernées.  Voir la section 1.6.1 “Les responsables du traitement sont pleinement responsables” pour plus de détails.

Le RGPD définit ce principe comme suit :

Définition de l’art. 5(2) duRGPD : Le responsable du traitement doit être responsable du respect du paragraphe 1 (“responsabilité”) et être en mesure d’en apporter la preuve.

Le paragraphe 1 fait ici référence aux principes qui ont été discutés dans les six sections précédentes, à savoir

• Licéité, loyauté et transparence ;
• Limitation de l’objectif ;
• Minimisation des données ;
• Précision ;
• Limitation du stockage ; et
• Intégrité et confidentialité.

Pour reformuler l’art. 5(2), le responsable du traitement est pleinement responsable de deux choses :

• Le respect de ces six principes,
• Démontrer la conformité.

La responsabilité n’est donc pas un nouveau principe auquel les responsables du traitement doivent se conformer, mais elle indique aux responsables du traitementcomment appliquer les six principes.

Notez que le fait de devoir démontrer la conformité est un grand pas au-delà de la simple obligation de se conformer.  En particulier, il fait peser la “charge de la preuve” sur le responsable du traitement ; un responsable du traitement qui ne peut ou ne veut pas démontrer sa conformité est en violation du RGPD.

Qu’est-ce que cela signifie de se conformer ?

Alors que l’art. 5(2) ne parle que du respect des six principes, il doit en fait être étendu à l’ensemble du RGPD.  Ceci est motivé par le fait que tous les autres articles ont pour but de détailler les principes ou de décrire plus en détail la manière dont ils doivent être mis en œuvre.

Dans tout le RGPD, il n’y a qu’une seule façon de se mettre en conformité, à savoir par la mise en œuvre de mesures techniques ou organisationnelles.  Dans l’Art. 24, qui décrit les obligations d’un responsable du traitement, le premier paragraphe indique explicitement que c’est ainsi que les responsables du traitement se conforment (et démontrent leur conformité) au RGPD ; l’art. 25(1) stipule que la protection des données dès la conception se résume à la mise en œuvre de telles mesures tout au long du cycle de vie de l’activité de traitement ; l’art. 25(2) met également l’accent sur l’utilisation de telles mesures pour la protection des données par défaut ; l’art. 28(1) stipule que les sous-traitants doivent également mettre en œuvre de telles mesures ; l’art. 32 stipule que le respect des exigences en matière de sécurité est également assuré par la mise en œuvre de telles mesures ; et l’art. 89(1) stipule que les garanties nécessaires pour le “traitement à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques” garantissent que de telles mesures sont en place.

Étant donné que les mesures techniques et organisationnelles sont si essentielles pour assurer la conformité, la discussion de chacun des six principes ci-dessus s’est terminée par des exemples de telles mesures.

Le respect des exigences en matière de protection des données peut être considéré comme un processus.  Conformément au concept de protection des données dès la conception (voir l’art. 25(1) du RGPD), dans chaque phase du cycle de vie de l’activité de traitement, les risques pour les droits et libertés des personnes physiques sont évalués et des mesures d’atténuation appropriées sont mises en œuvre.  Le RGPD utilise une définition très large du terme “mesures techniques et organisationnelles”.  Elle comprend essentiellement tout ce qu’un responsable du traitement fait pour se conformer au RGPD.  Par conséquent, même l’étape d’évaluation mentionnée ci-dessus peut être considérée comme une mesure en soi.

Qu’est-ce que cela signifie de démontrer la conformité ?

Étant donné que la conformité est obtenue par la mise en œuvre de mesures appropriées, il n’est pas surprenant que la démonstration de la conformité documente ces mesures.

Cela ressort par exemple de l’art. 30(1)(g) qui impose d’énumérer les mesures pertinentes pour la sécurité dans les registres de traitement.  Il est également central dans l’art. 35 sur l’analyse d’impact sur la protection des données, qui est sans doute le principal outil prévu par le RGPD pour démontrer la conformité.  En particulier, l’art. 35(7)(d) demande aux responsables du traitement de déclarer les mesures qu’ils ont mises en œuvre pour assurer la protection des données à caractère personnel et démontrer leur conformité au RGPD.

Une discussion plus détaillée de la documentation du traitement en général, et des analyses d’impact sur la protection des données en particulier, se trouve dans la section “Principaux outils et actions” ci-dessous.  Ces deux sections soulignent l’importance des mesures techniques et organisationnelles.

Économie d’échelle pour la conformité et sa démonstration

Comme indiqué ci-dessus, la conformité est obtenue par la mise en œuvre de mesures techniques et organisationnelles.  Il ressort clairement de la discussion ci-dessus que la conformité peut nécessiter un nombre important de ces mesures.  Cela peut rendre plus difficile l’évaluation de la protection réelle offerte par ces mesures et la question de savoir si cette protection est appliquée de manière uniforme et cohérente.

Pour atténuer cette difficulté, le RGPD propose certains types de “mécanismes d’abstraction” qui permettent de considérer un ensemble de mesures connexes comme une seule unité.  En particulier, le RGPD prévoit deux mécanismes de ce type dans son art. 24 qui décrit la “responsabilité du responsable du traitement” :

• Les politiques de protection des données (voir art. 24(2) du RGPD), et
• codes de conduite approuvés (voir art. 24(3) et 40).

Une politique de protection des données est un mécanisme qui rend l’application des mesures systématique.  Cela garantit un ensemble uniforme et cohérent de mesures dans des situations similaires.  Par exemple, au lieu de devoir évaluer quelles mesures de sécurité sont appropriées pour chacun des nombreux serveurs très similaires, une politique unique peut être rédigée une fois et appliquée à tous les serveurs.  De toute évidence, en particulier dans les opérations de traitement complexes et étendues, cela permet de réaliser des économies d’échelle potentiellement très importantes, qui peuvent même couvrir plusieurs activités de traitement indépendantes du même responsable du traitement.

Le mécanisme des codes de conduite approuvés étend cette économie d’échelle, au-delà d’un seul responsable de traitement, à tout un secteur de transformation.  Ces codes de conduite sont élaborés par des associations et autres organismes représentant des catégories de responsables de traitement ou de sous-traitants (voir art. 40(2) duRGPD).  Lorsqu’un code de conduite ne concerne pas des activités de traitement dans plusieurs États membres, l’autorité de contrôle compétente peut l’approuver (voir l’art. 40(5) du RGPD), puis l’enregistrer et le publier (voir l’art. 40(6) du RGPD).  Lorsqu’un projet de code de conduite concerne des activités de traitement dans plusieurs États membres, un processus similaire est utilisé, qui implique le Conseil européen de la protection des données (voir l’art. 40(7) duRGPD).  Il est évident que les codes de conduite permettent également une économie d’échelle aux autorités de contrôle qui doivent surveiller le respect du RGPD.

Tant les codes de conduite approuvés que la certification (conformément à l’article 42 du RGPD) peuvent aider les responsables du traitement à démontrer leur conformité (voir l’article 24, paragraphe 3, du RGPD).