Mesures de sécurité.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données visées à l'article 3, notamment empêcher qu'elles soient déformées ou endommagées ou que des tiers non autorisés y aient accès.
En particulier, les accès aux traitements de données doivent nécessiter une authentification des personnes accédant aux données, au moyen par exemple d'un code d'accès et d'un mot de passe individuels, suffisamment robustes et régulièrement renouvelés, ou par tout autre moyen d'authentification.
Les conditions d'administration du système d'information prévoient l'existence de systèmes automatiques de traçabilité (journaux, audits...).
Dans le cas de l'utilisation d'un service de communication au public en ligne, le responsable de traitement prend les mesures nécessaires pour se prémunir contre toute atteinte à la confidentialité des données traitées. Les données transitant sur des canaux de communication non sécurisés doivent notamment faire l'objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée.
Concernant les pièces d'identité, celles-ci ne doivent être accessibles qu'à un nombre de personnes restreint et des mesures de sécurité doivent être mises en œuvre afin d'empêcher toute réutilisation détournée de ces données.