L’entreprise est dorénavant soumise à une obligation générale de démontrer la conformité du traitement au RGPD. Il s’agit du nouveau principe dit d’accountability, c’est-à-dire la capacité à rendre des comptes. Le responsable de traitement, en collectant et en stockant les données personnelles, fait courir aux personnes concernées des risques de piratage et de divulgation non autorisée pouvant influer sur leur vie privée et leur porter préjudice. Par conséquent, l’entreprise doit par exemple pouvoir prouver avoir pris toutes les mesure nécessaires, en fonction des risques et des coûts, pour assurer la sécurité des données traitées. Il s’agit d’une obligation de moyens, et non de résultat. Le choix des mesures à prendre n’est pas précisé; il doit tenir compte des risques pesant sur les données, de l’état de l’art et du coût des mesures. En cas de violation de la sécurité des données, l’autorité compétente recherchera si le responsable de traitement avait pris les mesures de sécurité raisonnable au vu du risque et de l’état de l’art. On ne reprochera pas à un responsable d’avoir subi un piratage de données basé sur l’exploitation d’une faille jusqu’ici inconnue; on lui reprochera en revanche de ne pas avoir appliqué une mise à jour de sécurité pour cette faille si celle-ci était disponible. L’entreprise est par ailleurs tenue de tenir un registre décrivant tous les traitements de données personnelles. Le RGPD détaille les informations qui doivent figurer au registre pour un responsable et pour un sous-traitant. Ce registre est une condition préalable indispensable à la conformité au RGPD néanmoins son contenu varie selon le nombre d’employés que compte l’organisation (Date: 30.03.2020; Auteure: Sophie Prignon).