Mesures de sécurité.
La commission rappelle qu'en application de l'article 34 de la loi du 6 janvier 1978 modifiée le responsable d'un traitement de données à caractère personnel doit prendre toutes les précautions utiles pour préserver la sécurité des données à caractère personnel collectée et traitée au regard des risques présentés par son traitement.
Il doit ainsi au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Le responsable de traitement doit notamment s'assurer :
- que les utilisateurs s'authentifient avec un identifiant et un mot de passe respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité ;
- qu'un mécanisme de gestion des habilitations permet de garantir que seules les personnes habilitées peuvent accéder aux données nécessaires à la réalisation de leurs missions ;
- que les mesures techniques adéquates garantissent la sécurité des données stockées ou échangées ;
- de la mise en place d'un mécanisme de journalisation des accès à l'application et des opérations.
La commission rappelle enfin que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.