Le principe d’intégrité et de confidentialité est un des six principes fondamentaux encadrant le traitement des données à caractère personnel. Il impose que les données à caractère personnel soient traitées en garantissant la sécurité appropriée. Le responsable de traitement doit, à ce titre, mettre en œuvre les mesures de sécurité suffisantes, et adaptées afin de s’assurer qu’aucun accès et/ou aucune modification non autorisé ou illicite, et qu’aucune perte, destruction, ou dégâts accidentels n’intervienne sur les données.
Aussi, le responsable de traitement devra évaluer le risque que son traitement fait peser sur les personnes concernées afin de déterminer les mesures de sécurité adéquates. La règlementation n’établit pas une liste de mesures de sécurité à mettre en place, c’est au responsable de traitement de déterminer ce qui est nécessaire. En effet, les mesures doivent être adaptées aux risques que génère le traitement de données, il est difficile d’établir une liste « fixe » de mesures devant être mises en place. Si chaque responsable de traitement doit apprécier concrètement les mesures nécessaires, il est des mesures de sécurité élémentaires, tel que les anti-virus, les mots de passe, ….
A ce titre, la CNIL a élaboré un guide pratique de la sécurité des données personnelles (mis à jour en 2024) composé de 25 fiches, ainsi qu’une fiche d’auto-évaluation de la sécurité de l’organisme. L’ANSSI, Agence nationale de la sécurité des systèmes d’information, publie régulièrement des guides de sécurité, et des informations concernant les failles de sécurité etc.
Par ailleurs, une fois définies et mises en place, ces mesures de sécurité doivent être réexaminées régulièrement et tout au long de la vie du traitement. Chaque évolution dans la vie du traitement doit être analysé afin de s’assurer de la pertinence des mesures de sécurité en place. Qu’il s’agisse de nouvelles catégories de données, de nouvelles catégories de personnes, ou encore de modifications dans les prestataires /sous-traitants, toutes ces évolutions peuvent avoir un impact sur la sécurité du traitement. Par exemple, l’ajout de nouvelles catégories de personnes, qui plus est de personnes vulnérables (voir en ce sens les lignes directrices du G29 concernant les analyses d’impact) est susceptible d’engendrer des risques pour les personnes concernées différents, et supérieurs à ceux représentés par un traitement de données qui ne concerne que des personnes non vulnérables». Ainsi les mesures de sécurité doivent être réévaluées afin de couvrir ce nouveau cas de figure.
De plus, outre l’évolution des risques induits par le traitement en lui-même, il est indispensable de prendre en compte l’évolution des risques induits par l’état de l’art. La cybersécurité et la sécurité de l’informatique sont des domaines en constante évolution. Ce faisant, les mesures de sécurité adaptées à un instant T peuvent être dépassées quelques temps plus tard. Il est donc indispensable de réévaluer régulièrement celles mises en place au sein de l’organisme, afin de s’assurer de respecter le principe d’intégrité et de confidentialité des données.
- Article 5 du RGPD – Principes relatifs au traitement des données à caractère personnel
- Article 4 – Loi relative à l’informatique, aux fichiers et aux libertés, du 6 janvier 1978 n°78-17
- Guide sécurité des données personnelles, version 2024, CNIL
- CEPD – Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679
Date de mise à jour : 24.09.2024