RGPD

Accountability RGPD : principe de responsabilité

Art. 5(2) et Art. 24 RGPD : le principe d'accountability impose de démontrer la conformité. Documentation, registre, AIPD, audits et bonnes pratiques.

TD
Dr. Thiébaut Devergranne
12 avril 20267 min read

Le principe d’accountability, inscrit à l’Art. 5(2) et développé à l’Art. 24 du RGPD, renverse la logique de la conformité : il ne suffit pas de respecter le règlement, il faut pouvoir le démontrer. Lors d’un contrôle CNIL, c’est l’organisme qui porte la charge de la preuve de sa conformité, pas l’autorité qui doit prouver le manquement. La CNIL a sanctionné AG2R La Mondiale de 1,75 million d’euros (Délibération n°SAN-2023-014 du 8 septembre 2023) en partie pour l’insuffisance de sa documentation de conformité. Voici ce que le principe d’accountability RGPD exige concrètement.

Points Clés

  • L’Art. 5(2) RGPD impose une obligation de démontrer le respect de tous les principes de l’Art. 5(1) — pas seulement de les respecter.
  • L’Art. 24 RGPD oblige le responsable de traitement à mettre en oeuvre des mesures techniques et organisationnelles appropriées et à être en mesure de le prouver.
  • Le registre des traitements (Art. 30), les AIPD (Art. 35), les politiques internes et la formation du personnel sont les instruments clés de l’accountability.
  • L’accountability n’est pas un exercice ponctuel mais un processus continu de documentation, révision et amélioration.
  • L’absence de documentation est en soi une infraction, même si les pratiques réelles sont conformes.

Ce que disent les textes

Art. 5(2) RGPD — Le principe

« Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

L’Art. 5(2) impose deux obligations distinctes : respecter les principes (licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité et confidentialité) et être en mesure d’en apporter la preuve.

Art. 24 RGPD — La mise en oeuvre

L’Art. 24(1) précise que le responsable de traitement doit, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, mettre en oeuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD.

L’Art. 24(2) ajoute que lorsque cela est proportionné, ces mesures comprennent la mise en oeuvre de politiques appropriées en matière de protection des données.

Les piliers de l’accountability

1. Le registre des traitements (Art. 30)

Le registre des traitements est la pièce maîtresse de la documentation de conformité. L’Art. 30 RGPD impose au responsable de traitement de tenir un registre contenant, pour chaque traitement :

  • Les finalités du traitement
  • Les catégories de personnes concernées et de données
  • Les catégories de destinataires
  • Les transferts vers des pays tiers et les garanties appropriées
  • Les délais prévus pour l’effacement
  • Une description des mesures de sécurité

Le registre doit être tenu à jour et mis à disposition de la CNIL sur demande. Un registre incomplet ou obsolète constitue un manquement autonome à l’Art. 30.

2. Les analyses d’impact (Art. 35)

L’AIPD est obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. La CNIL a publié une liste de 14 types de traitements nécessitant une AIPD (Délibération n°2018-327 du 11 octobre 2018).

L’AIPD doit contenir :

  • Une description systématique des opérations de traitement
  • Une évaluation de la nécessité et de la proportionnalité
  • Une évaluation des risques pour les droits et libertés
  • Les mesures envisagées pour faire face aux risques

3. Les politiques internes

L’accountability exige la formalisation de politiques couvrant :

  • Politique de protection des données : principes généraux, rôles et responsabilités
  • Politique de conservation : durées par catégorie de données et procédure d’effacement
  • Politique de gestion des violations : détection, évaluation, notification (Art. 33-34 RGPD)
  • Politique de gestion des droits : procédures pour traiter les demandes d’accès, rectification, effacement, opposition
  • Politique de sous-traitance : sélection, contractualisation (Art. 28), audit des sous-traitants

4. La formation du personnel

L’Art. 39(1)(b) RGPD charge le DPO de contrôler la sensibilisation et la formation du personnel participant aux traitements. La formation doit être :

  • Adaptée au rôle de chaque collaborateur (marketing, RH, IT)
  • Régulière : au minimum annuelle, et lors de chaque prise de poste
  • Documentée : conservation des attestations, contenus et dates de formation

5. Les audits de conformité

L’audit de conformité est l’instrument de vérification du système d’accountability. Il permet de mesurer l’écart entre les politiques documentées et les pratiques réelles, et d’identifier les actions correctives nécessaires.

Comment démontrer la conformité en pratique

Le CEPD et la CNIL fournissent des indications concrètes sur ce qui constitue une preuve de conformité acceptable :

Documents à produire sur demande :

  • Registre des traitements à jour
  • AIPD pour les traitements à risque élevé
  • Contrats de sous-traitance conformes à l’Art. 28
  • Preuves de consentement (horodatées, avec version de l’information)
  • Documentation des bases légales choisies
  • Procédures de gestion des violations et registre des incidents
  • Rapports d’audit

Pratiques à démontrer :

  • Existence d’un DPO désigné (quand obligatoire) et preuve de ses moyens
  • Processus de privacy by design et privacy by default
  • Mécanismes d’exercice des droits effectifs et mesurés (délais de réponse)
  • Programme de formation documenté

Legiscope centralise l’ensemble de cette documentation dans un tableau de bord unique, génère automatiquement le registre et les AIPD, et maintient une piste d’audit complète de toutes les actions de conformité.

Sanctions pour défaut d’accountability

CNIL, Délibération n°SAN-2023-014 du 8 septembre 2023 : AG2R La Mondiale a été sanctionnée de 1,75 million d’euros pour des manquements multiples incluant l’absence de registre à jour, l’insuffisance de la documentation relative aux bases légales, et des lacunes dans la gestion des droits des personnes.

CNIL, Délibération n°SAN-2021-003 du 12 janvier 2021 : la CNIL a infligé 3 millions d’euros à Carrefour France et 800 000 euros à Carrefour Banque pour des manquements documentaires : information insuffisante des personnes, durées de conservation non définies, et absence de procédure formalisée pour les droits des personnes.

ICO (Royaume-Uni), octobre 2020 : Marriott International a reçu une amende de 18,4 millions de livres pour des défaillances de sécurité révélant une absence de processus d’accountability lors de l’acquisition de Starwood Hotels — les mesures de sécurité de la cible n’avaient pas été auditées.

L’accountability comme avantage stratégique

Au-delà de l’obligation juridique, l’accountability produit des bénéfices opérationnels :

  • Réduction du risque d’amende : un organisme documenté et proactif bénéficie de circonstances atténuantes en cas de manquement (Art. 83(2)(f) RGPD).
  • Confiance des partenaires : dans les appels d’offres B2B, la capacité à démontrer sa conformité est un critère de sélection croissant.
  • Efficacité opérationnelle : un registre à jour et des procédures formalisées réduisent le temps de réponse aux demandes des personnes et aux contrôles.
  • Résilience : un organisme accountable détecte plus rapidement les violations et limite leur impact.

FAQ

L’accountability s’applique-t-elle aussi aux sous-traitants ?

L’Art. 28(3)(h) RGPD impose au sous-traitant de mettre à disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations de l’Art. 28. Le sous-traitant a donc sa propre obligation d’accountability, même si elle est dérivée de celle du responsable de traitement. Il doit tenir un registre des catégories d’activités de traitement (Art. 30(2)).

Quelle est la différence entre accountability et compliance ?

La compliance désigne le fait de respecter les règles. L’accountability ajoute l’obligation de prouver ce respect par une documentation structurée et vérifiable. Un organisme peut être matériellement conforme mais en infraction au principe d’accountability s’il ne peut pas le démontrer. Inversement, une documentation parfaite ne sauve pas des pratiques non conformes.

Un organisme sans DPO peut-il satisfaire à l’accountability ?

Oui, si la désignation d’un DPO n’est pas obligatoire (Art. 37 RGPD). Toutefois, l’accountability exige qu’un responsable interne soit identifié pour piloter la documentation, les audits et la formation. En pratique, les organismes sans DPO désignent souvent un « référent RGPD » interne ou recourent à un DPO externalisé.

Combien de temps conserver la documentation d’accountability ?

Le RGPD ne fixe pas de durée spécifique. La CNIL recommande de conserver la documentation pendant toute la durée du traitement et au minimum cinq ans après la fin du traitement, pour couvrir le délai de prescription des sanctions administratives. Les preuves de consentement doivent être conservées aussi longtemps que le traitement fondé sur ce consentement est en cours, plus le délai de prescription.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →