Sécurité des données et traçabilité des actions.
La commission rappelle que le responsable du traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Pour atteindre cet objectif, il peut en particulier réaliser une étude des risques liés à la sécurité des données permettant de définir les mesures les plus adaptées au contexte en présence.
Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A cet égard, en cas de recours à un traitement automatisé, le responsable de traitement doit s'assurer plus particulièrement :
- que toute transmission d'information via un canal de communication non sécurisé, par exemple internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données. Les moyens utilisés doivent être conformes à l'état de l'art et, le cas échéant, respecter les recommandations de la commission ;
- que les personnes habilitées disposant d'un accès aux données s'authentifient avant tout accès à des données à caractère personnel, au minimum au moyen d'un identifiant et d'un mot de passe personnels respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification garantissant au moins le même niveau de sécurité ;
- qu'un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations ;
- qu'un mécanisme ou qu'une procédure garantit que les données à caractère personnel seront automatiquement supprimées à l'issue de leur durée de conservation ;
- qu'une procédure de continuité et/ou de reprise d'activité a été définie, au regard des contraintes identifiées préalablement à la mise en œuvre du traitement, et permet d'assurer le niveau attendu de disponibilité des données ;
- que les accès à l'application font l'objet d'une traçabilité, dont l'intégrité est assurée, afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes, en incluant pour les données sensibles un horodatage, l'identifiant de l'utilisateur ainsi que l'identification des données concernées, et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois glissants et faire l'objet d'une revue régulière visant à identifier tout incident de sécurité.
La commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent l'ensemble des obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
En cas de recours à un traitement non automatisé, le responsable de traitement doit prévoir des mesures de nature à garantir la sécurité et la confidentialité des données collectées et traitées sous forme papier, en particulier en s'assurant de la conservation de ces données dans un espace sécurisé à accès restreint, en consignant dans une main courante l'identité des personnes accédant aux documents et en organisant la récupération ainsi que la destruction des documents papiers utilisés.
La commission rappelle, en cas de recours aux services d'un sous-traitant, que ce dernier ne peut agir que sur instruction du responsable de traitement, lequel n'est pas dispensé de son obligation de veiller au respect des mesures de sécurité et de confidentialité qui lui sont imposées, d'une part, et que le contrat établi entre les parties doit comporter l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données, d'autre part.
La commission rappelle enfin que l'obligation de veiller à la sécurité et à la confidentialité de données à caractère personnel nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.