Article 24 – Responsabilité du responsable du traitement

Article 24 – Responsabilité du responsable du traitement
Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement.
article 24

Voici défini par cet article le « principe général de responsabilité » qui est celui de toute entreprise traitant des données personnelles dans le cadre du RGPD.
Mais comme tout grand principe, et pour éviter d’introduire des biais, le législateur reste vague. Il vous faut donc prendre les mesures adéquates…

Plus prosaïquement, vous avez déjà dans les prochains articles des mesures détaillées:

• article 30 : tenue de la documentation,
• article 32 et 35 : mise en œuvre des obligations de sécurité des données et réalisation d’une analyse d’impact relative à la protection des données,
• article 36 : respect des obligations en matière d’autorisation ou de consultation préalable de l’autorité de contrôle,
• article 37 :  désignation d’un délégué à la protection des données.

Non seulement il faut mettre en oeuvre à minima ces points mais aussi tout ce qui est raisonnable de faire, et ce vis à vis des risques. Bien entendu, vous devez pouvoir prouver à tout moment que ces mesures sont en place, ce qui vous impose des audits pour vérifier l’ensemble de la chaîne de processus de traitement des données personnelles.

Nous ne pouvons que vous encourager à mettre en place un processus qualité sur ces processus. Ou de faire appel à des auditeurs externes pour avoir une vision plus juste de vos compliances RGPD.

Déterminer les mesures techniques et organisationnelles appropriées est surement la plus grande difficulté à laquelle vous allez être confronté pour être en conformité avec le Règlement. Cela va exiger une coordination entre l’IT, le juridique, le marketing pour définir les risques et mettre en oeuvre des sécurités. Souvent, cela ne fait pas partie des pratiques actuelles.

Avec le RGPD, finis  les extracts de bases clients qui traînent depuis 5 ans sur des PC du marketing, mais aussi les backups stockés dans un coin par un DBA, les commandes clients gardées depuis 15 ans dans les BDD au cas où…. 1001 situations quotidiennes qu’il va falloir changer !

Compter sur la CNIL pour faire de la publicité des actions qu’elle va mener pour vous rappeler régulièrement les risques encourus.