LES OBLIGATIONS DU RESPONSABLE DE TRAITEMENT : LA SÉCURITÉ

Le responsable de traitement (mais aussi les prestataires externes) doivent « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Ces mesures mis en œuvre en fonction :

  • de l’état des connaissances,
  • des coûts de mise en œuvre,
  • de la nature, de la portée, du contexte et des finalités du traitement,
  • des risques.

 

Les mesures à prendre en compte ne sont pas uniquement celles relatives à la sécurité des infrastructures physiques, matérielles, logicielles et réseaux, mais également celles intrinsèques aux traitements et aux données personnelles, dont :

  • l’anonymisation et le chiffrement des données ;
  • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

En pratique, plus les données sont sensibles ou en nombre, plus les traitements sont à risque, plus l’autorité de protection des données personnelles demande des mesures élevées.

 

La nouveauté du texte repose sur le fait qu’en cas de problème / faille de sécurité, tous les responsables de traitement doivent désormais le notifier à l’autorité de protection des données personnelles et ce, dans les 72 heures. La notification doit comprendre les informations suivantes :

  • la nature de la violation de données y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données concernés;
  • le nom et les coordonnées du DPO ;
  • les conséquences probables de la violation de données ;
  • les mesures prises pour remédier à la violation de données.

Autre nouveauté qui aura des impacts commerciaux importants : lorsqu’une violation de données est susceptible d’engendrer un « risque élevé » au regard du GDPR, le responsable de traitement communique la violation de données aux personnes concernées dans les meilleurs délais et précise également les conséquences probables de la violation de données et les mesures prises pour y remédier.

Il n’existe à ce jour aucune définition légale du « risque élevé ». La méthodologie de l’autorité de protection des données personnelles sur l’analyse d’impact précise que la notion de gravité d’un risque correspond à « l’ampleur des impacts potentiels sur la vie privée des personnes concernées. Elle dépend essentiellement du caractère préjudiciable des impacts potentiels » (https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf). Il s’agira donc de valider au cas par cas les préjudices des impacts pour valider si oui ou non, il faut communiquer au public la violation de la sécurité.

Toutefois, il n’est pas nécessaire de communiquer à chaque personne concernée, même en cas de risque élevé, si :

  • le responsable de traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données affectées par ladite violation (en particulier si les données ont été cryptées / chiffrées) ;
  • le responsable de traitement a pris des mesures ultérieures qui garantissent que le risque élevé n’est plus susceptible de se matérialiser;
  • la communication individuelle demandait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique.