Mesures de sécurité.
Des mesures adéquates doivent être mises en œuvre et contrôlées afin de réduire les risques liés à l'accès illégitime, à la modification non désirée et à la disparition des informations traitées. Des processus doivent être mis en place pour permettre aux personnes concernées d'exercer leurs droits. L'objectif consiste à empêcher toute utilisation détournée ou frauduleuse de ces informations, notamment par des tiers non autorisés, et préserver l'intégrité des données. A ce titre, les mesures de sécurité mises en place pour permettre la consultation sur un site internet ouvert au grand public doivent interdire le téléchargement des cartes affichant des données à caractère personnel issues du SIG.
Les personnes habilitées, visées au 1° de l'article 5, peuvent bénéficier d'un accès direct et permanent aux données du traitement. Cet accès est contrôlé au moyen d'un identifiant et d'un mot de passe individuels conformes aux recommandations de la CNIL et du référentiel général de sécurité, ou par tout autre moyen d'authentification au moins équivalent.
Lorsque des données sont échangées en masse sur des supports physiques, leur confidentialité doit impérativement être protégée par des mécanismes de chiffrement conformes au référentiel général de sécurité. Ces échanges doivent faire l'objet des formalités préalables prévues par la loi « Informatique et Libertés ».
Lorsque l'accès au traitement s'effectue au travers d'un réseau non sécurisé, les données à caractère personnel transmises doivent être chiffrées lors de leur transport, afin d'en garantir la confidentialité. Lorsque ce chiffrement est assuré par un certificat électronique, celui-ci doit être généré et manipulé selon les modalités définies au référentiel général de sécurité.
Enfin, tous les accès aux données à caractère personnel doivent être tracés dans un journal de connexion, qui doit être conservé six mois et être régulièrement analysé, afin de détecter toute tentative d'accès illégitime aux données.