a

Une logique de conformité et de responsabilité

< Rapport d'information >

Comme le rappelle la CNIL dans les éléments transmis à la mission : « Si le contrôle a posteriori a gardé sa pertinence, les déclarations ont perdu une large partie de leur raison d’être. La question que se posent les responsables de traitement a changé : il ne s’agit plus de savoir d’abord si la bonne “ formalité ” a été faite, mais de savoir si l’entité assure une protection optimale des données à chaque instant. »

Ainsi, alors que la directive de 1995 reposait en grande partie sur l’existence de formalités préalables (déclaration, autorisations), le règlement européen, qui tient compte de ces évolutions fondamentales, repose sur une logique de conformité et de responsabilité, dite d’« accountability ».

Dans une étude consacrée au règlement dans la revue de droit bancaire et financier, les auteurs constatent : « L’accountability est une notion difficilement traduisible dans toutes ses nuances en français. Le terme “ responsabilité ” lui est souvent substitué mais il n’évoque que l’une des facettes de la notion. L’accountability est, à la fois, l’affirmation de la responsabilité de l’entreprise mais aussi, et surtout, sa faculté à démontrer qu’elle a bien respecté les exigences réglementaires en matière de protection des données. » **** ( 57 )

La contrepartie de cette responsabilisation des acteurs est la suppression de la plupart des obligations déclaratives , dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. (58)

L’article 30 du règlement remplace ainsi la notification générale de traitement des données à l’autorité de contrôle, exigée par la directive n° 95/46/CE par l’obligation, pour les responsables de traitement et les sous-traitants, de garder un registre des activités de traitement de données effectuées sous leur responsabilité.

< Rapport d'information >