Articles

Article 6 AUTONOME (Délibération n° 2015-433 du 10 décembre 2015 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé gérant un service public aux fins de gérer les services en matière d'affaires scolaires, périscolaires, extrascolaires et de petite enfance (NS-058))

Article 6 AUTONOME (Délibération n° 2015-433 du 10 décembre 2015 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé gérant un service public aux fins de gérer les services en matière d'affaires scolaires, périscolaires, extrascolaires et de petite enfance (NS-058))


Politique de confidentialité, de sécurité et de traçabilité :
Le responsable du traitement doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel visées à l'article 3 et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
Pour atteindre cet objectif, le responsable de traitement peut en particulier réaliser une étude d'impact sur la vie privée permettant de définir les mesures les plus adaptées au contexte en présence.
Les accès individuels aux données doivent s'effectuer par un identifiant et un mot de passe spécifiques à chaque personne, respectant les recommandations de la commission et régulièrement renouvelé, ou par tout autre moyen d'accès garantissant au moins le même niveau de sécurité.
Une politique de gestion des habilitations, régulièrement mise à jour, doit être mise en œuvre pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. En ce sens, le responsable de traitement doit définir, formaliser et gérer une procédure permettant de garantir la bonne mise à jour des habilitations.
Toute transmission de données à caractère personnel via un canal de communication non sécurisé, par exemple internet, doit s'accompagner de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données. Les moyens utilisés doivent être conformes à l'état de l'art et, le cas échéant, respecter les recommandations de la commission.
Les accès à l'application doivent faire l'objet d'une traçabilité, dont l'intégrité est assurée, afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes, en incluant un horodatage, l'identifiant de l'utilisateur ainsi que l'identification des données concernées, et ceci pour les accès en consultation, modification ou suppression. Les données de journalisation doivent être conservées pendant une durée de six mois et faire l'objet d'une revue régulière visant à identifier tout incident de sécurité.
L'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
En cas de recours aux services d'un sous-traitant, que ce dernier ne peut agir que sur instruction du responsable de traitement, lequel n'est pas dispensé de son obligation de veiller au respect des mesures de sécurité qui lui sont imposées par l'article 34 de la loi du 6 janvier 1978 modifiée. Le sous-traitant doit par ailleurs présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et le contrat établi entre les parties doit comporter l'indication des obligations incombant au sous-traitant en matière de sécurité des données à caractère personnel.
La commission rappelle enfin que l'obligation de garantir la sécurité des données à caractère personnel nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.