Mesures de sécurité.
Le responsable du traitement doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel visées à l'article 3 et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Pour atteindre cet objectif, le responsable de traitement peut en particulier réaliser une étude des risques liés à la sécurité des données permettant de définir les mesures les plus adaptées au contexte en présence.
En toutes hypothèses, les accès individuels aux données doivent s'effectuer par un identifiant et un mot de passe individuels respectant les recommandations de la commission et régulièrement renouvelé, ou par tout autre moyen d'authentification garantissant au moins le même niveau de sécurité.
Par ailleurs, un mécanisme de gestion des habilitations, régulièrement mis à jour, doit être mis en œuvre pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations.
Toute transmission d'information via un canal de communication non sécurisé, par exemple Internet, doit s'accompagner de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données. Les moyens utilisés doivent être conformes à l'état de l'art et, le cas échéant, respecter les recommandations de la commission.
Les accès à l'application doivent faire l'objet d'une traçabilité, dont l'intégrité est assurée, afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes, en incluant un horodatage, l'identifiant de l'utilisateur, ainsi que l'identification des données concernées, et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois et faire l'objet d'une revue régulière visant à identifier tout incident de sécurité.
La commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
La commission rappelle, en cas de recours aux services d'un sous-traitant, que ce dernier ne peut agir que sur instruction du responsable de traitement, lequel n'est pas dispensé de son obligation de veiller au respect des mesures de sécurité qui lui sont imposées par l'article 34 de la loi du 6 janvier 1978 modifiée. Le sous-traitant doit par ailleurs présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité, et le contrat établi entre les parties doit comporter l'indication des obligations incombant au sous-traitant en matière de sécurité des données à caractère personnel.
La commission rappelle enfin que l'obligation de veiller à la sécurité des données à caractère personnel nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.