Obligation de garantir un niveau de sécurité adapté aux risques
Obligation de garantir un niveau de sécurité adapté aux risques
APDP | 23 janvier 2025L’article 31 de la Loi précise les obligations de sécurité mises à la charge du responsable du traitement.
Celui-ci doit ainsi prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques pour les droits et libertés des personnes physiques.
L’adoption de ces mesures nécessite une analyse permettant d’identifier les risques puis de déterminer leur niveau de probabilité et de gravité.
Quels sont les risques pour les droits et libertés des personnes physiques ?
Conformément à l’article 31 de la Loi, ces risques sont notamment :
- la destruction de données ;
- la perte de données ;
- l’altération de données ,
- la divulgation non autorisée de données ;
- l’accès non autorisé à des données personnelles
Ces risques peuvent se produire de manière accidentelle ou illicite.
Quelles mesures appropriées peuvent être prises ?
A titre d’exemples, l’article 31 de la Loi prévoit que le responsable du traitement peut prendre les mesures suivantes :
- la pseudonymisation et le chiffrement des données ;
- tout moyen permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ;
| Exemple : contrôle d’accès aux installations |
- tout moyen permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
- la mise en place d’une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.