Article 24 du RGPD

Responsabilité du responsable du traitement

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 1 - obligations générales »  article 24

  1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
  2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
  3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement.

Article 24 du RGPD : Ce qu'il faut comprendre

L’article 24 du RGPD impose au responsable du traitement de mettre en place des mesures techniques et organisationnelles pour s’assurer que le traitement des données personnelles est conforme au règlement. Ces mesures doivent être adaptées à la nature, l’étendue, le contexte et les objectifs du traitement, ainsi qu’aux risques potentiels pour les droits des personnes. Les responsables doivent régulièrement réviser et mettre à jour ces mesures si nécessaire.

Politiques de protection des données

Si cela est proportionné aux activités de l’organisation, le responsable doit également mettre en place des politiques internes spécifiques pour garantir la protection des données.

Preuve de conformité

L’application de codes de conduite approuvés ou de certifications peut être utilisée pour prouver que l’organisation respecte bien ses obligations en matière de protection des données.

Article 24 du RGPD – Exemples concrets

  • Exemple 1 : Mise en place de mesures de sécurité
    Une entreprise e-commerce qui traite des informations de paiement met en place des mesures comme le chiffrement des données, des pare-feu, et des audits réguliers pour s’assurer que les informations de ses clients sont protégées. Elle revoit ces mesures régulièrement pour les adapter aux nouvelles menaces.
  • Exemple 2 : Politique interne sur la protection des données
    Une grande entreprise internationale crée une politique interne qui précise comment elle gère les données personnelles de ses clients et employés, en incluant des processus de gestion des accès, des sauvegardes et des formations pour le personnel.
  • Exemple 3 : Certification en protection des données
    Une PME adhère à un code de conduite approuvé par l’autorité de protection des données ou obtient une certification en matière de protection des données. Cela lui permet de démontrer qu’elle respecte les règles du RGPD.

← Article 23 – Limitations
Article 25 – Protection des données dès la conception et protection des données par défaut →

Les articles du RGPD mentionnant l'article 24