Des mesures de protection physique et logique doivent être prises pour préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse des informations, notamment par des tiers non autorisés, et en préserver l'intégrité. Les accès individuels à l'application s'effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'identification. Un journal des connexions doit être établi.
A ce titre, le responsable du traitement concerné s'engage à mettre en œuvre les mesures de sécurité définies au premier alinéa.