Accueil > Articles RGPD >
Sécurité du traitement
Chaque semaine, un point rapide et efficace sur le RGPD.
1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.
3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.
L’article 32 consacre l’un des principes les plus importants du système européen de protection des données personnelles : celui de la sécurité des traitements des données personnelles 🔐
💡 Pour rappel, un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, destruction etc. Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle (article 4 RGPD).
Cet article s’inscrit plus largement dans une section entièrement dédiée à la “Sécurité des données à caractère personnel” se composant comme ainsi :
Les articles 33 et 34 du RGPD prévoient qu’en cas d’une violation de données à caractère personnel, le responsable de traitement et le sous-traitant sont tenus de notifier l’incident (intentionnel ou non) à la CNIL dans les 72 heures et à la personne concernée dans “les meilleurs délais”.
💡 Pour rappel, une violation des données à caractère personnel correspond à une violation de leur sécurité entraînant, de manière intentionnelle (par exemple : piratage) ou non, la destruction, la perte, la divulgation ou l’accès non autorisé.
En prévention de toute violation des données personnelles, l’article 32 a justement pour objet de prévoir une obligation, pour le responsable de traitement et le sous-traitant, de mettre en place des mesures techniques et organisationnelles de protection des données tout au long du traitement. Voyons ensemble ces mesures.
💡 Pour rappel, le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle (article 4 RGPD). Le sous-traitant est la personne ou l’organisme (souvent un prestataire de service) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).
L’article 32 §2 RGPD prévoit qu’avant toute mise en oeuvre de mesures de sécurité, il convient d’évaluer le niveau de sécurité approprié pour prévenir toutes hypothèses où les données à caractère personnel seraient détruites, perdues, divulguées ou traitées d’une autre manière.
Rappelons que ce risque doit être analysé en fonction de l’atteinte qui serait portée aux droits et libertés des personnes concernées.
Prenons l’exemple d’une entreprise qui conserverait les copies de pièces d’identité de ses clients sur un fichier partagé dans un cloud accessible par un mot de passe tel que 123456 (mot de passe le plus courant). Dans cette hypothèse, la mesure de sécurité est très faible et le risque pour le droit des personnes est très haut (risque d’usurpation d’identité en cas de divulgation). Dans ce cas, le niveau de risque est haut et devra guider le choix de mesures adéquates.
Le risque pour la protection des données personnelles doit être évalué (article 32 §2 RGPD) en fonction des moyens techniques, des moyens financiers et de la finalité du traitement (article 32 §1 RGPD).
Cela signifie que les mesures mises en oeuvre doivent être adaptées à ce qui est techniquement et financièrement acceptable pour protéger efficacement les données personnelles.
Précisons ici que les coûts engendrés par les mesure de sécurité ne doivent pas être mesurés en fonction des moyens financiers du responsable de traitement mais en fonction du risque pour la protection des données.
De plus, ces mesures doivent être adaptées à l’objectif pour lequel les données personnelles sont traitées, c'est-à-dire leurs finalités.
Par exemple, si les données personnelles sont utilisées pour un profilage, le risque est plus élevé au regard des conséquences sur les droits et libertés des personnes.
💡 Pour rappel, le profilage est un type de traitement de donnée personnelle automatisé, c’est-à-dire effectué par un algorithme, pour évaluer certains aspects personnels relatifs à une personne en vue de prédire un comportement.
L’article 32 du RGPD propose une liste non exhaustives de mesures de sécurité qui peuvent être envisagées. Ces mesures se composent de mesures techniques et organisationnelles.
Les mesures techniques :
a) la pseudonymisation et le chiffrement des données à caractère personnel.
Par exemple, dans une affaire récente, Doctolib a été poursuivi concernant l’hébergement de ses données sur les serveurs de la filiale d’Amazon AWS. Bien que les serveurs étaient localisés en France, la loi américaine n’assure pas une protection suffisante au regard du RGPD notamment depuis la remise en question Privacy Schield. Néanmoins, le Conseil d’Etat a considéré que le risque était nettement réduit par la mise en place d’un dispositif de chiffrement des données par Doctolib.
→ Pour plus d’information à ce sujet, nous avons rédigé un article ici.
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
Les techniques de pseudonymisation et de chiffrement sont deux mesures techniques permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes.
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique.
Il s’agit de mesures protégeant les données de toute destruction ou altération en cas de dangers physiques tels que des incendies ou inondations. Le responsable de traitement est tenu de mettre en place des systèmes de sauvegarde garantissant la disponibilité et la résilience des données personnelles.
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
L’ensemble des mesures de sécurité mises en place doivent être testées régulièrement afin de vérifier leur bon fonctionnement.
Les mesures organisationnelles.
Les mesures organisationnelles sont liées au facteur humain. A ce titre, l’article 32 §4 RGPD précise que le responsable de traitement comme le sous-traitant doivent s’assurer que les personnes physiques qui travaillent sous leur autorité ne traitent les données personnelles que sur leurs instructions ou par ce qu’elles y sont obligés en vertu de la loi.
Cette disposition signifie que les employés, prestataires ou partenaires ne doivent avoir accès aux données personnelles pour les traiter que sur instructions, c'est-à-dire que dans le cadre précis de leurs missions, ou en vertu de la loi (par exemple, la loi oblige de tenir une comptabilité qui elle-même contient des données personnelles liées par exemple à l’adresse de facturation).
Il convient de rapprocher un autre article qui prévoit que le sous-traitant est tenu de veiller à ce que ses employés soient soumis à une obligation de confidentialité (article 28 RGPD).
💡Pour rappel, le principe d’accountability (article 24 RGPD) désigne l’obligation pour les responsables de traitement de mettre en œuvre des mécanismes permettant de démontrer sa conformité au RGPD.
Appliqué à l’obligation de sécurité, cela signifie que le responsable de traitement et le sous-traitant doivent faire preuve de transparence à l’égard des personnes concernées et des autorités.
Ainsi comme déjà évoqué, en cas de violation des données personnelles, le responsable de traitement et le sous-traitant doivent informer la CNIL et les personnes concernées (article 33 RGPD et article 34 RGPD).
Ils doivent également rédiger un document écrit, accessible, précisant toutes les mesures techniques et organisationnelles de protection des données mises en oeuvre conformément à l’article 32 RGPD. Ce document peut prendre la forme d’une politique de confidentialité (ou Privacy Policy).
Vous avez des difficultés à évaluer les risques et mettre en place les mesures de sécurité adaptées ? Notre solution et nos équipes vous accompagnent dans l’identification des risques et la construction d’une feuille de route 💁🏻♀️.
