Accueil Le principe de responsabilité imposé au RSSI

Le principe de responsabilité imposé au RSSI

Dans le cadre des débats sur la proposition de règlement européen qui imposera des sanctions considérables en cas de non-respect des dispositions de la loi Informatique et Libertés, le responsable de la sécurité des systèmes d'information (RSSI) doit prendre la mesure des enjeux juridiques. Parmi les nouvelles obligations qui seraient imposées au responsable du traitement de données à caractère personnel et donc au RSSI, on trouve le principe d'accountability ou de responsabilité à l'article 22 du projet de règlement relatif à la protection des données personnelles.

Le principe d'accountability n'est pas nouveau. Il avait déjà été évoqué dans les Lignes Directrices de l'Organisation de Coopération et de Développement Économiques en 1980 sur la protection de la vie privée et les flux transfrontières de données à caractère personnel. Ce principe était également sous-jacent dans la directive 95/46 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données.

Ce n'est pas tant la conformité à la loi qui est visée dans le principe de responsabilité. C'est plutôt l'obligation pour le RSSI de prouver aux autorités de contrôle chargées de la protection des données personnelles ou encore aux personnes concernées par les traitements que son entreprise respecte la législation en vigueur. En d'autres termes, la charge de la preuve du respect par l'entreprise des dispositions Informatique et Libertés repose sur les épaules du RSSI.

Il s'agit donc d'assurer une traçabilité et une transparence au sein de l'entreprise et à l'égard des autorités nationales chargées de la protection des données à caractère personnel. A ces fins, les Etats membres de l'Union européenne, les autorités de contrôle et la Commission européenne sont encouragés à soutenir les entreprises par l'adoption de codes de conduite, par la création de mécanismes de certification et de labels.

La théorie

Il s'agit pour le responsable du traitement de garantir la conformité à la loi par la mise en place de mesures effectives. A première vue, cela peut sembler excessif. Il convient toutefois de préciser les conséquences pratiques de ces dispositions. Le RSSI devra adopter des règles internes et mettre en œuvre les mesures appropriées pour garantir que le traitement des données à caractère personnel est effectué dans le respect du règlement.

La pratique

Sur le plan matériel, le principe de responsabilité se traduit donc par la rédaction d'une documentation interne à l'entreprise ou à l'administration (politiques de respect de la vie privée, politiques contractuelles avec les sous-traitants, principe du besoin d'en connaître, etc.). Les politiques internes devront être organisées selon une hiérarchie bien définie, au sommet de laquelle on trouvera généralement un document comportant les principes fondamentaux que l'entreprise s'engage à respecter à l'occasion des traitements de données à caractère personnel. Au dernier niveau, les exigences en matière de traitement et de protection des données personnelles peuvent être détaillées dans des guides, selon les services ou les métiers par exemple.

A titre d'illustration, voici un classement hiérarchique des politiques internes que l'on peut trouver en entreprise (voir schéma) :

La mise en œuvre de ces règles internes doit se faire notamment selon trois axes :

  • en sensibilisant globalement le personnel grâce à la diffusion des politiques internes décrites précédemment ;
  • en sanctionnant le non-respect de ces politiques dans le cadre de procédures disciplinaires ;
  • en effectuant des audits internes et externes de manière régulière.

Le RSSI aura donc bel et bien un rôle à jouer dans la diffusion de ces politiques internes.

Il devra également veiller à faire réaliser une analyse d'impact relative à la protection des données préalablement à la mise en œuvre de traitements à risque, comme prévu par l'article 33 du projet de règlement. Le RSSI devra également s'assurer de l'acceptation expresse, en toute conscience, du risque résiduel par ses supérieurs hiérarchiques.

Les sanctions

L'article79 du projet de règlement européen prévoit que le défaut de conformité à l'article 22, donc au principe d'accountability, peut donner lieu à des sanctions conséquentes et ce, même en l'absence de violation des droits des personnes dont les données personnelles sont traitées.

La sanction afférente au non-respect de l'article 22 du projet de règlement est d'ailleurs l'une des plus importantes. Il est en effet prévu, dans le projet de règlement tel qu'il est rédigé pour l'instant, une amende pouvant s'élever à 1 000 000 EUR ou, dans le cas d'une entreprise, à 2 % de son chiffre d'affaires annuel mondial, qu'il s'agisse d'un manquement délibéré ou par négligence.

Garance Mathias

GaranceMathias est l'avocat fondateur du Cabinet Mathias, créé il y a plus de 10 ans, pour l'accompagnement des entreprises du secteur des technologies avancées et de l'internet. Elle enseigne et écrit de nombreux articles sur le sujet, notamment sur le blog du Cabinet.  http://www.avocats-mathias.fr