Article 24 RGPD : l'obligation d'accountability décryptée

L’article 24 du RGPD est l’article que la CNIL n’a presque jamais besoin de citer pour vous sanctionner — et c’est précisément ce qui en fait la pierre angulaire du dispositif. Quand la délibération SAN-2024-001 du 4 avril 2024 inflige 525 000 € à Hubside, ce n’est pas tant un manquement isolé qui est reproché qu’une incapacité à démontrer que l’organisation pilotait sa conformité. Dans mon expérience de conseil auprès de PME et de grands groupes, 80 % des dossiers que je vois échouer ne pèchent pas par méconnaissance du RGPD : ils pèchent par absence de traces. L’article 24 impose précisément ce que la jurisprudence appelle aujourd’hui le principe d’accountability. Voici son analyse paragraphe par paragraphe, les sanctions clés, et un plan opérationnel pour 2026.

Ce que dit l’article 24 du RGPD

L’Art. 24 RGPD comporte trois paragraphes que je commenterai successivement. Il est intitulé « Responsabilité du responsable du traitement » et constitue le premier article du chapitre IV consacré au responsable et au sous-traitant.

« 1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire. »

Trois observations préliminaires structurent toute l’analyse. D’abord, l’obligation pèse exclusivement sur le responsable de traitement — à la différence de l’Art. 32 RGPD qui, sur la sécurité, vise aussi le sous-traitant. Ensuite, le critère est la proportionnalité au risque : il n’existe pas un standard universel d’accountability, mais un standard relatif aux traitements concernés. Enfin, l’article impose un double objectif — garantir la conformité et être capable de la démontrer. C’est ce second volet qui crée 90 % du contentieux.

L’Art. 24 ne crée pas une obligation isolée. Il prolonge le principe énoncé à l’Art. 5(2) RGPD, qui pose que « le responsable du traitement est responsable du respect [des principes] et est en mesure de démontrer que ceux-ci sont respectés ». La CJUE, dans l’arrêt NAP du 14 décembre 2023 (C-340/21), a explicitement confirmé que cette obligation de démonstration est une obligation de moyens renforcée : ce n’est pas la survenance d’un manquement qui établit la faute, mais l’incapacité à prouver que des mesures appropriées avaient été mises en place ex ante.

Article 24(1) : l’approche par les risques et la démonstration

Le premier paragraphe articule deux exigences cumulatives, souvent confondues mais juridiquement distinctes : l’adéquation au risque et la traçabilité documentaire.

L’analyse de risques est la porte d’entrée

L’Art. 24(1) commence par reprendre les quatre facteurs de modulation déjà connus de l’Art. 32 : nature, portée, contexte, finalités du traitement, plus la probabilité et la gravité du risque. Ces critères ne sont pas décoratifs. Ils imposent au responsable de traitement de réaliser une cartographie des risques avant de définir les mesures, et non l’inverse. Dans la SAN-2022-022 Free Mobile du 8 décembre 2022 (300 000 €), la formation restreinte a relevé que l’organisation avait déployé des mesures de sécurité génériques sans avoir identifié les risques spécifiques liés à la conservation prolongée des données de prospects et de clients résiliés. Le manquement à l’Art. 24 est implicite mais structurant.

Pour les traitements à haut risque, cette analyse prend la forme formalisée d’une analyse d’impact relative à la protection des données au titre de l’Art. 35 RGPD. Mais l’erreur fréquente est de croire que seule l’AIPD compte. Pour tous les autres traitements, l’Art. 24 impose une analyse de risques proportionnée — souvent qualifiée de « proto-AIPD » dans la doctrine — qui doit être tracée à minima dans le registre des traitements ou dans une fiche de description de traitement.

Les mesures techniques et organisationnelles

L’Art. 24(1) impose la mise en œuvre de mesures techniques et organisationnelles. Cette dualité est essentielle. Les mesures techniques (chiffrement, contrôle d’accès, journalisation, sauvegardes) relèvent largement de l’Art. 32. Les mesures organisationnelles, elles, sont propres à l’Art. 24 et incluent :

• La désignation d’un DPO lorsque les conditions de l’Art. 37 sont remplies.
• La nomination d’un référent RGPD pour les organisations non soumises à désignation obligatoire.
• La mise en place d’un comité ou d’instances de gouvernance des données.
• La formation et la sensibilisation des équipes — la SAN-2023-013 Doctissimo du 26 octobre 2023 (380 000 €) a explicitement reproché à l’éditeur l’absence de formation des équipes responsables du déclarement des cookies.
• La rédaction de politiques internes (voir Art. 24(2) infra).
• La gestion contractuelle des sous-traitants au titre de l’Art. 28 RGPD.
• La tenue à jour du registre des traitements prévu à l’Art. 30.

L’obligation de démonstration

C’est le point névralgique. « Être en mesure de démontrer » n’est pas une simple obligation de bonne foi : c’est une obligation probatoire qui inverse la charge de la preuve. En cas de contrôle CNIL, ce n’est pas à l’autorité de prouver le manquement, c’est à l’organisation de produire les éléments établissant qu’elle a effectivement mis en œuvre les mesures requises. L’arrêt CJUE NAP (C-340/21) a clairement confirmé cette logique pour l’Art. 32, mais elle s’applique a fortiori à l’Art. 24 dont la démonstration est l’objet exclusif.

Concrètement, dans toutes les procédures CNIL que j’ai pu analyser, le scénario est le même : l’organisation reçoit un questionnaire qui demande de produire telle politique, tel registre, tel procès-verbal de comité, tel rapport d’audit. L’absence de production équivaut, sauf preuve contraire, à l’absence de mise en œuvre. C’est la traduction concrète de l’Art. 24(1).

L’obligation de réexamen et d’actualisation

La dernière phrase de l’Art. 24(1) — « Ces mesures sont réexaminées et actualisées si nécessaire » — est trop souvent ignorée. Elle impose une dynamique de mise à jour : les politiques figées de 2018 ne sont plus conformes en 2026. Trois déclencheurs imposent une révision :

1. L’évolution du traitement : nouvelle finalité, nouvelle catégorie de données, nouveau sous-traitant, transfert hors UE.
2. L’évolution du droit : nouvelle ligne directrice EDPB, nouvelle délibération CNIL, nouvel arrêt CJUE.
3. L’évolution du risque : nouvelle menace cyber, nouveau type d’attaque, retour d’expérience d’incident.

En pratique, je recommande un audit annuel formalisé du dispositif d’accountability et un audit complet tous les trois ans. La traçabilité de ces revues constitue, en elle-même, un élément de démonstration au titre de l’Art. 24.

Article 24(2) : les politiques internes obligatoires

Le deuxième paragraphe précise un type de mesure organisationnelle :

« 2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement. »

Le législateur européen impose ici la rédaction de politiques internes comme composante de l’accountability, sous réserve de proportionnalité. La rédaction est prudente — « lorsque cela est proportionné » — mais en pratique, sauf pour des structures de très petite taille traitant peu de données, la CNIL considère que ces politiques sont obligatoires. Mon expérience est qu’en dessous de 5 salariés, certaines politiques peuvent rester implicites ; au-dessus, l’absence de politique formalisée est systématiquement relevée comme manquement.

Quelles politiques rédiger en pratique ?

Le RGPD ne dresse pas la liste exhaustive des politiques attendues. La pratique consolidée par la CNIL et l’EDPB en distingue plusieurs niveaux :

Politiques fondamentales (toutes organisations) :

• Politique de protection des données externe : la « politique de confidentialité » destinée aux personnes concernées, qui matérialise les obligations d’information des Art. 13 et 14 RGPD.
• Politique interne de protection des données : document cadre fixant la gouvernance, les rôles, les processus de pilotage. C’est le pivot du dispositif d’accountability.
• Procédure de gestion des droits des personnes : conformément à l’Art. 12 RGPD, avec délais, formulaires types, modalités de vérification d’identité.
• Procédure de notification des violations : pour respecter le délai de 72 heures de l’Art. 33 RGPD et la communication aux personnes de l’Art. 34.

Politiques sectorielles (selon les traitements) :

• Charte informatique intégrant les obligations RGPD, applicable aux salariés.
• Politique de gestion des cookies et bandeau de consentement.
• Politique de durée de conservation et d’archivage par catégorie de données.
• Politique de gestion des sous-traitants : sélection, contractualisation Art. 28, audit, sortie.
• Politique de transfert hors UE : mécanismes Art. 45-49, analyses TIA post-Schrems II.
• Politique de privacy by design au titre de l’Art. 25 — voir privacy by design RGPD.

La piège du « copier-coller »

Une politique téléchargée sur internet et adaptée superficiellement n’a aucune valeur probatoire. Pour qu’elle « démontre » la conformité au sens de l’Art. 24, elle doit :

• être datée et signée par la direction (preuve de validation au plus haut niveau) ;
• être diffusée et opposable aux salariés (intégration au règlement intérieur, accusé de réception, formation) ;
• être adaptée au contexte réel de l’organisation (citation des traitements concernés, sous-traitants effectifs, outils utilisés) ;
• faire l’objet d’une revue documentée au moins annuelle.

L’absence de l’un de ces éléments est régulièrement retenue par la CNIL comme un défaut de mise en œuvre effective. Dans la SAN-2024-008 SAF Logistics du 5 décembre 2024 (200 000 €), la formation restreinte a relevé qu’une charte informatique existait mais n’avait pas été portée à la connaissance effective des salariés ni mise à jour depuis sa rédaction initiale.

Article 24(3) : codes de conduite et certifications

Le troisième paragraphe ouvre deux voies de démonstration alternatives :

« 3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou de mécanismes de certification approuvés comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement. »

Les codes de conduite de l’Art. 40

Un code de conduite est un référentiel sectoriel approuvé par la CNIL (ou un autre régulateur national) qui précise les règles RGPD pour un secteur donné. En France, les codes approuvés à ce jour sont notamment :

• Le code de conduite européen de l’EU Cloud CoC pour les fournisseurs cloud, approuvé en 2021.
• Le code de conduite CISPE pour l’infrastructure cloud.
• Le code de conduite des fournisseurs d’applications mobiles approuvé par certaines autorités nationales.

L’adhésion à un code, lorsqu’elle est documentée et auditée, vaut présomption simple de conformité sur les points couverts par le code. Elle ne dispense pas de l’analyse de risques propre à l’organisation.

Les certifications de l’Art. 42

Le mécanisme de certification RGPD est moins développé en France. Le référentiel européen EuropeanPrivacySeal (EuroPriSe) et la certification française GDPR-CARPA proposée par certains organismes accrédités constituent les rares schémas opérationnels. Une certification ne dispense pas non plus du respect du RGPD : elle constitue, comme le code de conduite, un élément probatoire.

Articulation avec l’ISO 27701 et SOC 2

En pratique, les organisations s’appuient souvent sur des standards internationaux pour structurer leur dispositif : ISO 27701 (extension vie privée de l’ISO 27001), SOC 2, NIST Privacy Framework. Ces standards ne sont pas des certifications RGPD au sens de l’Art. 42, mais ils peuvent servir d’éléments probatoires si l’audit est documenté. La CNIL les valorise dans ses contrôles, sans leur reconnaître de valeur juridique automatique.

Comment démontrer sa conformité : les sept piliers documentaires

L’expérience des 200 dernières délibérations CNIL me permet d’identifier sept catégories de pièces que la CNIL réclame systématiquement en contrôle. Ces sept piliers constituent, en pratique, le dossier d’accountability au sens de l’Art. 24.

#	Pilier	Texte de référence	Périodicité de revue
1	Registre des traitements	Art. 30 RGPD	Continue, au moins annuelle
2	Politiques de protection des données (interne et externe)	Art. 24(2), 13, 14	Annuelle
3	Procédures opérationnelles (droits, violations, conservation)	Art. 12, 33, 34, 5(1)(e)	Annuelle
4	Cartographie des sous-traitants et contrats Art. 28	Art. 28	À chaque entrée/sortie
5	Analyses d’impact (AIPD)	Art. 35	À chaque modification du traitement à risque
6	Preuves de formation et de sensibilisation	Art. 24(1)	Annuelle
7	Journal d’incidents et registre des violations	Art. 33(5)	À chaque incident

Ces sept piliers ne sont pas optionnels. Leur absence constitue, en elle-même, un manquement à l’Art. 24, indépendamment de tout incident matériel.

Les sanctions CNIL fondées sur l’article 24

La CNIL cite rarement l’Art. 24 seul dans ses délibérations. Elle l’invoque presque toujours en appui d’un autre manquement, parce que l’absence de démonstration aggrave chaque manquement spécifique. Voici les délibérations marquantes :

• SAN-2024-001 Hubside du 4 avril 2024 (525 000 €) : la formation restreinte relève une succession de manquements (Art. 5, 12, 17, 32) qui révèlent, en réalité, une gouvernance défaillante de la conformité. L’Art. 24 sous-tend l’analyse globale.
• SAN-2022-022 Free Mobile du 8 décembre 2022 (300 000 €) : durées de conservation incohérentes, absence de politique formalisée, traitement des droits défaillant. Le manquement à l’Art. 5(2)/Art. 24 est explicitement cité.
• SAN-2022-009 Discord du 10 novembre 2022 (800 000 €) : la formation restreinte sanctionne notamment l’absence de politique de conservation formalisée et appliquée.
• SAN-2024-008 SAF Logistics du 5 décembre 2024 (200 000 €) : politique de gestion des accès défaillante, charte informatique non opposable. Les manquements traduisent un défaut d’accountability au sens de l’Art. 24.
• SAN-2023-013 Doctissimo du 26 octobre 2023 (380 000 €) : absence de formation des équipes en charge de la conformité cookies. C’est typiquement le manquement organisationnel visé à l’Art. 24(1).

Le rapport d’activité 2024 de la CNIL souligne que plus de 90 % des sanctions prononcées ces trois dernières années comportent au moins un grief tiré du défaut d’accountability. C’est, statistiquement, le risque numéro un.

Plan opérationnel : construire son dossier d’accountability en six chantiers

À partir des sept piliers documentaires, voici le plan de bataille que je recommande dans mes interventions de mise en conformité. Il se déploie sur quatre à six mois pour une PME, douze à dix-huit mois pour une ETI.

Chantier 1 — Cartographie et registre (mois 1-2)

Établir le registre des traitements à jour. Pour chaque traitement : finalités, bases légales, données traitées, durées de conservation, destinataires, sous-traitants, transferts hors UE, mesures de sécurité. Cette cartographie est la fondation : sans elle, aucune autre obligation Art. 24 ne peut être pilotée.

Chantier 2 — Politiques cadre (mois 2-3)

Rédiger ou actualiser les politiques de protection des données (interne et externe), la charte informatique, la politique de gestion des sous-traitants, la politique de durées de conservation. Faire valider en comité de direction et diffuser.

Chantier 3 — Procédures opérationnelles (mois 3-4)

Procédure d’exercice des droits (Art. 12 à 22), procédure de notification de violation (Art. 33-34), procédure de privacy by design (Art. 25), procédure de revue annuelle. Chaque procédure doit avoir un propriétaire identifié, un délai d’exécution et un indicateur de pilotage.

Chantier 4 — Sous-traitants (mois 4-5)

Cartographier les sous-traitants effectifs, signer ou actualiser les contrats au titre de l’Art. 28, obtenir les preuves de leur propre conformité (audits SOC 2, ISO 27001, attestations). C’est l’un des points les plus régulièrement défaillants en contrôle.

Chantier 5 — Formation et sensibilisation (transverse)

Plan de formation annuel par population : direction, DSI, marketing, RH, commerciaux. Traçabilité des sessions (signatures, e-learning avec quiz, attestations). C’est ce qui transforme les politiques en pratiques.

Chantier 6 — Audit et amélioration continue (mois 6 puis annuel)

Audit interne ou externe formalisé, plan d’actions, revue de direction. C’est ce qui matérialise l’obligation de réexamen et d’actualisation de l’Art. 24(1) in fine. Mon guide pratique sur l’audit RGPD détaille la méthodologie.

C’est précisément ce type de pilotage continu, que peu d’organisations parviennent à tenir manuellement, que des plateformes comme Legiscope automatisent — registre vivant, alertes de revue, traçabilité native.

Ce qu’il faut retenir

• L’article 24 est le principe directeur de la conformité RGPD : il impose une obligation d’accountability, c’est-à-dire de mise en œuvre de mesures appropriées et de démonstration de cette mise en œuvre.
• L’analyse de risques est la porte d’entrée : sans cartographie préalable des risques, les mesures déployées sont génériques et inappropriées au sens du RGPD.
• Le défaut de démonstration équivaut au défaut de conformité : la CNIL inverse la charge de la preuve. Pas de document, pas de conformité, en pratique.
• L’Art. 24(2) impose la rédaction de politiques internes opposables, datées, validées par la direction et adaptées au contexte de l’organisation.
• Le dossier d’accountability tient en sept piliers : registre, politiques, procédures, gestion des sous-traitants, AIPD, formation, journal des violations.
• Plus de 90 % des sanctions CNIL des trois dernières années comportent un grief d’accountability. C’est le risque statistique numéro un.

Recevez nos analyses conformité chaque semaine. Je décrypte les délibérations CNIL et les arrêts CJUE pour vous donner des points d’appui concrets dans vos dossiers de conformité. S’abonner à la newsletter.

FAQ

Quelle différence entre l’article 5(2) et l’article 24 du RGPD ?

L’Art. 5(2) pose le principe d’accountability : le responsable de traitement est responsable du respect des principes de l’Art. 5(1) et doit pouvoir le démontrer. L’Art. 24 en tire les conséquences opérationnelles : il impose la mise en œuvre de mesures techniques et organisationnelles appropriées et leur réexamen régulier. Les deux articles sont systématiquement invoqués ensemble par la CNIL dans les sanctions où l’accountability est en cause.

L’article 24 RGPD s’applique-t-il aux sous-traitants ?

Non, l’Art. 24 ne s’adresse qu’au responsable de traitement. Le sous-traitant est régi par l’Art. 28 RGPD qui lui impose ses propres obligations, et par l’Art. 32 sur la sécurité. Toutefois, la pratique des contrôles CNIL montre que les sous-traitants doivent eux aussi documenter une forme d’accountability vis-à-vis de leurs clients responsables de traitement, sous peine de mettre ces derniers en défaut.

Quelles sont les politiques internes obligatoires au titre de l’article 24(2) ?

Le RGPD ne dresse pas de liste exhaustive. La pratique consolidée par la CNIL impose au minimum : une politique externe de protection des données (information aux personnes), une politique interne (gouvernance), une procédure de gestion des droits des personnes, une procédure de notification des violations. Selon les traitements, s’y ajoutent une charte informatique, une politique cookies, une politique de conservation, une politique de gestion des sous-traitants et une politique de transfert hors UE.

Comment prouver concrètement que mon organisation respecte l’article 24 ?

En produisant un dossier documentaire structuré autour de sept piliers : (1) registre des traitements à jour, (2) politiques validées et diffusées, (3) procédures opérationnelles avec indicateurs, (4) cartographie des sous-traitants et contrats Art. 28 signés, (5) AIPD pour les traitements à risque, (6) preuves de formation, (7) journal des violations. Ce dossier doit être daté, versionné et faire l’objet d’une revue annuelle documentée.

Une certification ISO 27701 vaut-elle preuve d’accountability au titre de l’article 24 ?

Non, pas à elle seule. L’ISO 27701 n’est pas une certification RGPD au sens de l’Art. 42 — son champ est complémentaire mais distinct. En revanche, un audit ISO 27701 constitue un élément probatoire dans le dossier d’accountability et est valorisé par la CNIL en contrôle. Pour qu’il soit pleinement opposable au titre de l’Art. 24(3), il doit être adossé à une cartographie spécifique RGPD et à des politiques propres au règlement européen.