L’obligation de Sécurisation des données

L’obligation de sécurité est un autre élément fondamental du RGPD et elle incombe aux Responsables de Traitement et aux Sous-traitants.

Des mesures de protection et de sécurité de nature techniques et organisationnelles doivent être mises en œuvre de façon adaptée aux risques et aux traitements. Elles ont pour objectif de protéger l’intégrité, la confidentialité et la disponibilité des données traitées.

Protéger l’intégrité : c’est protéger les données contre une suppression, une modification ou une dégradation malencontreuse, accidentelle ou délibérée.
Protéger la confidentialité : c’est maîtriser les droits d’accès aux données et garantir que seules les personnes autorisées y ont accès.
Garantir la disponibilité : c’est faire en sorte que les données soient accessibles tout au long de la mise en œuvre de leur traitement.

Identifier les risques

Les risques auxquels sont exposées les données personnelles peuvent être consécutifs à des pannes, des sinistres, des facteurs humains ou des actions malveillantes délibérées (vol, piratage informatique…).

Mettre en place des mesures physiques, logiques et organisationnelles de sécurité

Le chiffrement des données, la pseudonymisation, les accès par mots de passe, les accès sécurisés et les systèmes d’alarme pour protéger les locaux de l’organisation, l’installation de pare-feu et d’antivirus , l’installation de systèmes de protection contre les sinistres météorologiques ou électriques, ou encore la mise en place de systèmes de sauvegardes font partie des mesures de sécurité à la disposition des responsables de traitement et des sous-traitants.

Elles devront bien évidemment faire l’objet d’un suivi et d’audits réguliers, d’adaptations et d’une communication claire envers les acteurs du traitement des données personnelles. Les incidents devront également être analysés et faire l’objet de mesures correctives.

CE QUE DIT LA LOI :

RGPD – Chapitre 4 – Article 32 – Sécurité du traitement

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

la pseudonymisation et le chiffrement des données à caractère personnel;
des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Comprendre le RGPD

Retour au Sommaire
Comprendre le RGPD

← L'obligation de définir une Durée de Conservation des données

L'obligation de Transparence →