Après notre livre blanc « Le RGPD en 10 leçons – L’essentiel du RGPD dans un guide pratique », nous vous proposons désormais, sous l’intitulé « Le RGPD en focus », une série de focus sectoriels et/ou métiers afin de vous permettre d’approfondir les évolutions induites par le RGPD.
Focus #3 : Codes de conduite, labels et certifications
Le RGPD introduit la notion d’accountability. L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que les traitements des données à caractère personnel sont effectués conformément au règlement, et être en mesure de le démontrer.
Aussi, l’accountability implique la mise en place d’une véritable gouvernance des données, et notamment :
– de déployer un processus permanent et dynamique de mise en conformité de son entreprise à la réglementation « Informatique et libertés », notamment grâce à un ensemble de règles contraignantes, d’outils et de bonnes pratiques correspondantes ;
– d’apporter la preuve que les mesures appropriées ont été prises (cf. mécanisme permettant de démontrer l’efficacité et l’effectivité des mesures prises) : en pratique, les entreprises vont devoir faire et être en mesure de prouver, de tracer, ce qui a été fait ;
– d’auditer les mesures prises dans le cadre d’un contrôle continu, pour d’une part, vérifier l’efficacité desdites mesures et d’autre part, les actualiser le cas échéant pour assurer leur maintien en conformité au règlement au regard de l’évolution des traitements, de leurs finalités, des exigences réglementaires ou tout simplement du retour d’expérience.
Mais le Règlement ne se contente pas de créer de nouvelles notions et obligations puisqu’il prévoit de nouvelles méthodologies à destination des responsables de traitements et des sous-traitants pour démontrer la conformité de certains aspects de leurs traitements et le respect de certaines de leurs obligations respectives. Ces méthodologies peuvent notamment prendre la forme de « codes de bonne conduite », de « certifications » ou encore de « labels » (articles 40 à 43 du RGPD).
Ce nouveau focus vous propose une synthèse des dispositions applicables et un tableau récapitulatif des thématiques susceptibles de faire l’objet d’une certification, d’un label ou d’un code de conduite, avec les articles du RGPD qui y font référence, et les outils existants et à venir en la matière.
Notre article : Le RGPD en Focus #3 : Codes de conduite, labels et certifications (pdf)
Retrouvez toutes les focus sectoriels et/ou métiers : Le RGPD en focus
Nous restons à votre écoute pour toute thématique que vous souhaiteriez voir aborder dans ce cadre, n’hésitez pas à nous en faire part.
—
Par AGIL’IT – Pôle IT & Data protection
Laure Landes-Gronowski, Avocate associée