Alors que l’art. 5(1)(f) du RGPD indique de manière abstraite que des “mesures techniques ou organisationnelles appropriées” doivent être utilisées pour mettre en œuvre les objectifs de protection de la sécurité mentionnés ci-dessus, l’art. 32 du RGPD fournit plus de détails.
L’article 32, paragraphe 1, dispose que, lorsqu’ils décident des mesures appropriées, les responsables du traitement tiennent compte de “l’état de l’art et des coûts de mise en œuvre“, ainsi que de “la nature, la portée, le contexte et les finalités du traitement“. En particulier, le contexte du traitement est pertinent ici, car on peut faire valoir que le paysage actuel des menaces enest un aspect. Comme prévu, le responsable du traitement doit également prendre en compte “les risques pour les droits et libertés des personnes physiques“.
Le niveau de protection requis dépend donc clairement de la gravité des conséquences indésirables auxquelles les personnes concernées sont exposées et d’un modèle de menace qui estime la probabilité d’événements indésirables. La sécurité n’est donc qu’un moyen, et non un objectif en soi. Le niveau de sécurité est suffisant lorsque les risques pour les personnes concernées sont ramenés à un niveau acceptable. Le choix des mesures dépend à la fois de ce que le marché a à offrir et du rapport coût-efficacité de ces mesures.
L’art. 32(1)(d) du RGPD énonce le concept bien accepté selon lequel la sécurité est un processus, et non unefinalitéréalisée une fois. En particulier, le RGPD exige “un processus permettant de tester, d’apprécier et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement”.
L’art. 32(2) du RGPD fournit des détails supplémentaires marginaux sur ce qu’impliquent les objectifs de protection, en énumérant ” la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès aux données à caractère personnel transmises, stockées ou traitées d’une autre manière “.
L’article 32, paragraphe 3, du RGPD suggère que “[l]e respect d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut être utilisé comme un élément permettant de démontrer le respect” du principe d’intégrité et de confidentialité.
L’art. 32(4) du RGPD précise qu’un élément important de la sécurité consiste à s’assurer que les employés n’agissent que sur instruction et selon les instructions du responsable du traitement. Cela est nécessaire pour établir une responsabilité et une reddition de comptes claires. Il est également nécessaire de garantir l’exigence de l’art. 5(1)(f) de “protection contre le traitement non autorisé ou illicite”.
De l’Art. 25 duRGPD, il s’ensuit que toutes les exigences posées par le RGPD, y compris la sécurité, doivent être prises en compte tout au long du cycle de vie de l’activité de traitement. Le RGPD exige donc également la sécurité par conception et par défaut. La sécurité doit donc être prise en compte au début du cycle de vie, par exemple en fonction des exigences utilisées pour un appel d’offres, et à la fin du cycle de vie, par exemple lors de la migration des opérations vers un nouveau système de traitement et du démantèlement de l’ancien.
L’art. 30(1)(g) duRGPD exige d’énumérer spécifiquement les mesures de sécurité techniques et organisationnelles dans les registres de traitement qui sont destinés aux autorités de contrôle.