Sécurité des données.
Le responsable du traitement prend toutes précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité et la confidentialité des données traitées. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
A cet égard, le responsable de traitement doit notamment s'assurer :
- que les utilisateurs s'authentifient avec un identifiant et un mot de passe respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification apportant au moins le même niveau de sécurité ;
- qu'un mécanisme de gestion des habilitations régulièrement mis à jour permet de garantir que seules les personnes habilitées peuvent accéder aux données nécessaires à la réalisation de leurs missions ;
- que les mesures techniques adéquates garantissent la sécurité des données stockées ou échangées, en particulier lors d'échanges sur internet ;
- de la mise en place d'un mécanisme de journalisation des accès à l'application, le cas échéant, et des opérations effectuées et de la conservation des données de journalisation pendant une durée de six mois glissants.
S'agissant des traitements d'identification des conducteurs mis en œuvre dans le cadre de l'arrêté du 13 octobre 2004 précité, les contraintes techniques d'échange informatique ainsi que les mesures destinées à assurer la sécurité des systèmes d'information des données et des mécanismes d'échange doivent être mises en œuvre dans les conditions prévues par la convention à signer avec l'ANTAI.
La commission rappelle enfin que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.