RGPD : comment répondre à l’obligation de sécurité ?*

Il y a quelques jours, la présidente de la CNIL faisait un premier bilan des premiers 4 mois du RGPD, et indiquait notamment avoir déjà reçu 600 notifications de violation de données personnelles !

Est-il besoin de le rappeler ? Le non-respect du RGPD peut entrainer des sanctions financières (amendes administratives) allant jusque 20 M€ ou 4 % du CA mondial.

Ce risque concerne notamment l’obligation d’assurer la sécurité des données personnelles qui implique, pour un responsable de traitement, de prendre toutes précautions utiles pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Ce devoir existait déjà sous la loi Informatique et Libertés et la CNIL a régulièrement l’occasion de sanctionner les manquements (récemment, décisions Dailymotion : amende de 50.000 euros, Optical Center : 250.000 euros, Hertz 40.000 euros, Darty : 100.000 euros).

Le RGPD renforce cette obligation : le responsable de traitement et son sous-traitant doivent mettre en œuvre des moyens permettant de garantir la confidentialité, l’intégrité et la disponibilité des systèmes de traitement et des procédures d’analyse, de test et d’évaluation de l’efficacité de ces mesures.

La CNIL a eu l’occasion de préciser que le fait de sous-traiter des opérations de traitement de données à un tiers ne décharge pas le responsable de traitement de la responsabilité de préserver la sécurité des données traitées pour son compte.

En cas de violation de la sécurité des données (destruction, perte, altération, divulgation non autorisée), il existe désormais une obligation de notification à l’autorité de contrôle et, dans certains cas, d’en informer les personnes concernées.

Pour démontrer la conformité au RGPD notamment en matière de sécurité, il est prévu l’établissement de codes de conduites ou de certifications (contrôlés par des organismes agréés) par des acteurs de domaines d’activités.

Il ne faut pas hésiter à se faire accompagner pour la mise en conformité car les enjeux sont aussi bien techniques que juridiques, or je constate en clientèle que les sociétés essaient de traiter le volet juridique (avec plus ou moins de bonheur) mais que la sécurité est souvent un peu négligée… le plus souvent, pensant avoir une sécurité optimale. Or il suffit d’un CMS WordPress non correctement mis à jour, d’une politique de mots de passe insuffisante … pour subir une violation de sécurité.

*co-écrit avec Franck DELAMER
Conseil en Propriété Industrielle / French Patent Attorney
Service Contrats et Valorisation / Contracts & IP Valuation Department

Répondre

Saisissez votre commentaire
Saisissez votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.