1. 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
|
(a) |
la pseudonymisation et le chiffrement des données à caractère personnel; |
|
(b) |
des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; |
|
(c) |
des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; |
|
(d) |
une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. |
2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
4. 4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.
Les mesures de sécurité techniques et organisationnelles sont des termes souvent utilisés dans le contexte du RGPD.
Une mesure technique pourrait consister à utiliser un logiciel antivirus pour détecter les logiciels malveillants sur votre ordinateur ou à utiliser des caméras vidéo pour dissuader les criminels. Les logiciels antivirus et les caméras vidéo peuvent aider une entreprise à maintenir un niveau approprié de sécurité des informations personnelles identifiables qu’elle traite.
Une mesure organisationnelle pourrait être des processus, des procédures ou la formation des employés aux meilleures pratiques. Les mesures organisationnelles sont essentielles à mettre en œuvre dans les organisations mineures, car celles-ci disposent souvent de moins de ressources techniques pour mettre en œuvre les mesures techniques. Les mesures techniques nécessitent souvent des connaissances plus spécialisées pour être mises en œuvre de manière appropriée.
Le RGPD stipule que vous devez mettre en œuvre des mesures techniques et organisationnelles ” appropriées ” ; à cet égard, la signification du terme ” approprié ” est un terme crucial à comprendre pour votre conformité au RGPD.
Vous ne saurez ce que sont les mesures appropriées que lorsque vous aurez évalué les risques liés au traitement des données personnelles par votre organisation. Donc, vous devez faire une évaluation des risques.
Sur la base des résultats de vos évaluations des risques, vous connaîtrez les menaces et les conséquences potentielles auxquelles votre organisation est confrontée. Ensuite, il est essentiel d’atténuer ces risques en adoptant des mesures organisationnelles et techniques “appropriées”.
L’évaluation des risques clarifie les risques que votre traitement des données personnelles expose. Sur la base des risques identifiés, vous devez évaluer le niveau de risque que vous êtes prêt à accepter.
De manière générale, vos mesures de sécurité appropriées doivent être renforcées lorsque vous traitez des informations personnelles de plus en plus sensibles, plusieurs types d’informations personnelles, et lorsque le volume de personnes concernées augmente.
Malheureusement, il n’existe pas de solution universelle pour définir un niveau de sécurité adapté au risque, et il n’y a pas de raccourci. Heureusement, c’est aussi un avantage car cela vous permet de mettre en œuvre les mesures de sécurité les plus adaptées à vos besoins.
Si vos données sont cryptées, les personnes non autorisées ne seront pas en mesure de lire les informations en cas de vol. Cette propriété fait du cryptage une mesure de sécurité recommandée dans le RGPD.
Tout ce que vous pouvez lire dans cet article est dans un format lisible appelé “texte brut”. Si le contenu était crypté, le texte serait illisible à la fois pour le lecteur et pour l’ordinateur. Ainsi, le cryptage garantirait la confidentialité de ces informations.
Le contenu ne serait lisible que lorsque le cryptage est supprimé, ce qui est fait avec une clé de cryptage. Une clé de cryptage est une sorte de “mot de passe” qui donne accès au contenu.
La clé de chiffrement relie le texte en clair et le texte chiffré.
Le cryptage est crucial pour la sécurité des informations, notamment dans le secteur bancaire, où l’argent numérique est transféré entre les banques. Le cryptage garantit que ces transferts peuvent être effectués en toute sécurité sans divulguer vos informations à des tiers.
Les trois termes Confidentialité, Intégrité et Disponibilité font partie d’un cadre de sécurité de l’information utilisé pour analyser les risques associés au traitement des données.
Ce cadre est utilisé dans la plupart des cadres d’évaluation des risques, et la formulation de l’article 32, paragraphe 1, point a), nous indique que nous devons procéder à une évaluation des risques.
La confidentialité signifie que les informations doivent être protégées contre tout accès ou toute divulgation non autorisés, de sorte qu’elles ne puissent être portées à la connaissance de parties non autorisées. Il peut s’agir, par exemple, de se protéger contre les pirates informatiques ou d’éviter d’envoyer des courriers électroniques à de mauvais destinataires.
La disponibilité fait référence à la protection des informations contre un accès non autorisé par les personnes qui ont le droit d’y accéder. Si vous ne pouvez pas accéder à vos données personnelles dans votre banque en ligne, par exemple, cela peut avoir des conséquences négatives pour vous – vous pourriez ne pas être en mesure de payer une facture à temps.
L’intégrité consiste à protéger les informations contre toute modification ou destruction non autorisée. Les informations doivent être exactes, car c’est la base du traitement des données. Par exemple, si des erreurs sont commises dans le paiement des salaires, un employé risque de manquer ou de perdre son salaire.
En tant que responsable du traitement ou du sous-traitant responsable du traitement (c’est-à-dire tout propriétaire d’entreprise), vous devez vous assurer que vos employés ont reçu des instructions sur la manière de traiter les données personnelles. Cela signifie que vous devez disposer de processus et de procédures pour traiter les données personnelles avec soin.
Le registre des activités de traitement contient une liste des processus qui doivent faire l’objet d’instructions pour les employés.
Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.
Once you have submitted your details, you’ll be our top priority!
