Faîtes appel à un spécialiste, Faîtes appel à Destrudata
Nous contacterVendredi 02 octobre 2020
Le Règlement Européen sur la Protection des Données (RGPD) est composé d’un certain nombre d’articles qui définissent les obligations des entreprises et administrations en matière de traitement des données, les responsabilités des différents rôles, et bien plus.
Aujourd’hui, nous nous intéressons à l’article 32, baptisé « Sécurité du traitement », qui s’adresse au responsable du traitement des données ou au sous-traitant et qui exige qu’un niveau de sécurité adapté soit employé face au risque (par exemple : fermeture à clef des portes, chiffrement de données personnelles, destruction de disques durs, etc).
Décryptage.
L’article 32 du RGPD définit les obligations de l’entreprise en termes de sécurité
L’article 32 du RGPD établit les obligations des entreprises et administrations en termes de sécurité. Il s’adresse tout particulièrement au responsable du traitement des données, ou au sous-traitant lorsque la gestion des données est externalisée.
L’article 32 du RGPD précise que le responsable de traitement et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ces mesures concernent aussi bien la sécurité physique que la sécurité informatique des données.
Ainsi, le RGPD préconise qu’une « pseudonymisation » soit mise en place et que les données à caractère personnel soient chiffrées. Par ailleurs, plusieurs moyens doivent être déployés afin de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement.
D’autres moyens doivent permettre de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique.
Nos prestations de destructions de supports informatiques
Pour finir, le RGPD suggère que le responsable du traitement des données ou le sous-traitant développe une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles mises en place afin de sécuriser le traitement des données personnelles.
Que se passe-t-il si une faille de sécurité est détectée ?
Lorsqu’une faille de sécurité est détectée, si cette dernière porte atteinte aux libertés individuelles des personnes, le responsable du traitement des données ou le sous-traitant doit impérativement en informer la CNIL, et ce au plus tard 72 heures après en avoir pris connaissance.
En outre, quand la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne en particulier, le responsable du traitement desdites données ou le sous-traitant doit communiquer la violation d’informations à caractère privé à la personne concernée dans les meilleurs délais.
Lire aussi :