Que dit l’article 32 ? « Compte tenu de l'état des connaissances (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…). »
L’article 32 du RGPD énumère une liste non exhaustive de mesures à prendre :
a) « la pseudonymisation et le chiffrement des données à caractère personnel » [art.4] de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires (…);
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »
2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques* que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel (…) ou de l'accès non autorisé à de telles données, (…).
* [art. 75] Des risques (…) susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral, (…) un vol ou une usurpation d'identité, (…) une perte financière, (…) une atteinte à la réputation, (…) une perte de confidentialité de données protégées par le secret professionnel, (…) un renversement non autorisé du processus de pseudonymisation ou (…) tout autre dommage économique ou social important; (…)
3. L'application d'un code de conduite approuvé (…) ou d'un mécanisme de certification approuvé (…) peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique ou sous-traitant (…), ne (…) traite pas (les données personnelles), excepté sur instruction (…), à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.
Quelques entreprises sanctionnées en France depuis la mise en application du RGPD
· Uber France (400K)
· Bouygues télécom (250K)
· Active assurance (180K)
· CNAM (100 K)
· Uniontrad Company (20K)
· Médecin libéral (3K)
· Institut des techniques informatiques et commerciales (mise en demeure)
· Association 42 (mise en demeure)