Dans le cadre du Règlement général sur la protection des données, toute une section est consacrée à la sécurité des données à caractère personnel (Chapitre IV, Section 2, articles 32 à 34. Il faut aussi ajouter la définition de la "violation de données à caractère personnel" (article 4, point 12 – les liens renvoient au texte du RGPD sur le site de la Cnil).
Les règles encadrant la sécurité des données
Les bases de l'exigence de sécurité sont énoncées dans l'article 32. Il s'agit de mettre "en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque" qui pourrait exister au vu du contexte d'un traitement de données personnelles. Par exemple, si ces données sont matérialisées par des dossiers papier, il y a lieu de mettre ces dossiers en sécurité, en faisant en sorte que seules les personnes habilitées à les consulter ou à les traiter ("destinataires des données" dans le jargon Informatique et libertés) y aient accès et surtout que ces dossiers soient stockés dans un local ou un meuble fermé à clé. Il en va de même pour les traitements informatiques, avec toutes les exigences de mesures techniques de protection les plus rigoureuses interdisant l'effraction des systèmes d'information, l'accès aux données ou leur piratage.
Une étude détaillée
Un spécialiste de ces questions de sécurité, Jean-Pierre Mistral, "Director Global Data Privacy", a publié un long article sur cette question sur le site du Village de la justice, intitulé "Les exigences de sécurité du RGPD", le 21 mars 2019.
L'auteur étudie en détail les exigences du Règlement, en scrutant les articles de celui-ci, à commencer par l'article 32, éclairé par les "considérants" qui y sont associés (il s'agit de l'exposé des considérations qui ont présidées à telle ou telle disposition d'un texte européen et qu'on peut lire avant le texte lui-même, en l'occurrence les considérants 75, 76, 78, 79 et 83, sur les quelques 173 que le Règlement propose). L'ensemble permet de mettre au jour toutes sortes de détails pratiques pour la bonne application du RGPD en cette matière.
Même s'il s'agit d'un article classé "Expert" sur le Village de la justice, il se lit aisément et nous ne saurions trop recommander sa lecture à toute personne ayant à gérer des données à caractère personnel dans une organisation.
De lourdes responsabilités
Rappelons que la sécurité est une des obligations majeures de tout responsable de traitement ou sous-traitant. Ne pas tenir compte de ces impératifs, à la fois juridiques et techniques, peut lourdement engager la responsabilité des organisations, avec les risques de préjudices subis par les "personnes concernées", celles dont les données sont traitées, sans parler des lourdes sanctions administratives et pénales prévues.
Citons la conclusion de l'article, à titre de synthèse :
"En conclusion, le RGPD impose au responsable du traitement et au sous-traitant une obligation forte d’assurer la sécurité des données, en exigeant l’évaluation des risques sécuritaires et la mise en œuvre d’une politique de sécurité tenant compte de manière appropriée des risques identifiés. Le programme de sécurité qui en résulte doit être correctement contrôlé, appliqué contractuellement en termes de contrôle des coûts et de limitation des responsabilités, et cohérent avec une analyse ‘business’ risques-avantages."
En savoir plus
Voir l'article chapeau "Garantir la sécurité des données" sur le site de la Cnil, qui renvoie à toutes sortes de documents sur la question sur le même site.
Ainsi que le "Guide de la sécurité des données personnelles", constitué d'une vingtaine de fiches.
Et plus généralement voir le tag "Sécurité des données" sur ce site.
Voir également notre Fiche synthétique sur le RGPD.
Et voir toutes nos actualités sur le RGPD.
