Articles

Article 7 AUTONOME (Délibération n° 2016-005 du 14 janvier 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par les organismes publics et privés pour la préparation, l'exercice et le suivi de leurs contentieux ainsi que l'exécution des décisions rendues (AU-046))

Article 7 AUTONOME (Délibération n° 2016-005 du 14 janvier 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par les organismes publics et privés pour la préparation, l'exercice et le suivi de leurs contentieux ainsi que l'exécution des décisions rendues (AU-046))


Sécurité des données et traçabilité des actions.
Le responsable de traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A cet égard, le responsable de traitement doit notamment s'assurer :


- que les utilisateurs s'authentifient avec un identifiant et un mot de passe respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité ;
- qu'un mécanisme de gestion des habilitations régulièrement mis à jour permet de garantir que seules les personnes habilitées peuvent accéder aux données nécessaires à la réalisation de leurs missions ;
- que les mesures techniques adéquates garantissent la sécurité des données stockées ou échangées, en particulier lors d'échanges sur internet ;
- de la mise en place d'un mécanisme de journalisation des accès à l'application et des opérations effectuées et de la conservation des données de journalisation pendant une durée de six mois glissants.


Le responsable de traitement définit une politique de sécurité adaptée aux risques présentés par les traitements et à la taille de l'organisme. Cette politique devra décrire les objectifs de sécurité, et les mesures de sécurité physique, logique et organisationnelle permettant de les atteindre.
Le responsable de traitement prend les mesures nécessaires pour assurer la maintenance du matériel. Ainsi, les interventions de maintenance doivent faire l'objet d'une traçabilité et le matériel remisé ne devra plus contenir de données à caractère personnel.
La commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent l'ensemble des obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
Elle rappelle également qu'un responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants et, le cas échéant, que le contrat établi entre les parties doit mentionner les objectifs de sécurité qu'un sous-traitant doit respecter.
La commission rappelle enfin que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.