Si l’on regarde le coeur de l’obligation de sécurité informatique imposée au responsable du traitement des données personnelles, il faut observer l’article 32 du règlement :
“Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…)”
Celui-ci impose de manière générale “le fait de mettre en place des mesures de sécurité adéquates aux risques causés par le traitement”. Ces mesures générales de sécurité informatique sont complétées par des dispositions plus spécifiques, dont cette de tracer l’ensemble des actions réalisées sur les données personnelles : “4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.”
Dans les précautions élémentaires de sécurité, la CNIL rappelle qu’il advient au responsable de traitement de mettre en place un système de journalisation :
“Prévoir un système de journalisation (c’est-à-dire un enregistrement dans des « fichiers journaux » ou « logs ») des activités des utilisateurs, des anomalies et des événements liés à la sécurité : ces journaux doivent conserver les évènements sur une période glissante ne pouvant excéder six mois (sauf obligation légale, ou risque particulièrement important) ; la journalisation doit concerner, au minimum, les accès des utilisateurs en incluant leur identifiant, la date et l’heure de leur connexion, et la date et l’heure de leur déconnexion ; dans certains cas, il peut être nécessaire de conserver également le détail des actions effectuées par l’utilisateur, les types de données consultées et la référence de l’enregistrement concerné.”
Ces recommandations sont importantes et doivent être mises en oeuvre de manière pratique et opérationnelle pour tous les traitements existants, au risque d’engager la responsabilité de l’organisation en cas d’atteinte.
Si ces points ne sont pas clairs pour vous, jetez un oeil à notre formation conformité RGPD pour disposer de processus précis d’implémentation de l’ensemble des obligations liées au RGPD.
