Fiche 16. La sécurité des données personnelles

L’article 5-1, f, du RGPD met à la charge du responsable du traitement une obligation de sécurité (I). Les données doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ». La mise en œuvre de ce principe est assurée par les articles 32, 33 et 34 du Règlement. L’atteinte portée aux données en constitue une violation (II). Le responsable du traitement doit notifier à la CNIL les violations les plus graves (III) et doit parfois même informer individuellement les personnes concernées (IV).
Le responsable du traitement est astreint à une obligation de sécurité, notamment pour éviter leur divulgation à des tiers non autorisés.
L’obligation de sécurité est définie en termes très généraux par l’article 5 du RGPD. L’article 34 de la loi Informatique et libertés dispose pareillement que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Le responsable du traitement doit donc adopter « les mesures techniques ou organisationnelles appropriées » pour garantir une « sécurité appropriée des données personnelles » (article 32 du RGPD)…