Le responsable de traitement (mais aussi les prestataires externes) doivent « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Ces mesures mis en œuvre en fonction :
- de l’état des connaissances,
- des coûts de mise en œuvre,
- de la nature, de la portée, du contexte et des finalités du traitement,
- des risques.
Les mesures à prendre en compte ne sont pas uniquement celles relatives à la sécurité des infrastructures physiques, matérielles, logicielles et réseaux, mais également celles intrinsèques aux traitements et aux données personnelles, dont :
- l’anonymisation et le chiffrement des données ;
- des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- des moyens permettant de rétablir la disponibilité des données et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
En pratique, plus les données sont sensibles ou en nombre, plus les traitements sont à risque, plus l’autorité de protection des données personnelles demande des mesures élevées.
La nouveauté du texte repose sur le fait qu’en cas de problème / faille de sécurité, tous les responsables de traitement doivent désormais le notifier à l’autorité de protection des données personnelles et ce, dans les 72 heures. La notification doit comprendre les informations suivantes :
- la nature de la violation de données y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données concernés;
- le nom et les coordonnées du DPO ;
- les conséquences probables de la violation de données ;
- les mesures prises pour remédier à la violation de données.
Autre nouveauté qui aura des impacts commerciaux importants : lorsqu’une violation de données est susceptible d’engendrer un « risque élevé » au regard du GDPR, le responsable de traitement communique la violation de données aux personnes concernées dans les meilleurs délais et précise également les conséquences probables de la violation de données et les mesures prises pour y remédier.
Pour apprécier un risque élevé la CNIL dispose qu’il faut tenir compte des éléments suivants:
- le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;
- la nature, la sensibilité et le volume des données personnelles concernées ;
- la facilité d’identifier les personnes touchées par la violation ;
- les conséquences possibles de celles-ci pour les personnes ;
- les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.) ;
- le volume de personnes concernées ;
- les caractéristiques du responsable du traitement (nature, rôle, activités).
Toutefois, il n’est pas nécessaire de communiquer à chaque personne concernée, même en cas de risque élevé, si :
- le responsable de traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données affectées par ladite violation (en particulier si les données ont été cryptées / chiffrées) ;
- le responsable de traitement a pris des mesures ultérieures qui garantissent que le risque élevé n’est plus susceptible de se matérialiser;
- la communication individuelle demandait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique.
La communication d’une violation aux personnes concernées devrait se faire au moyen de messages dédiés ne contenant pas d’autres informations, telles que des comptes rendus réguliers, des bulletins d’informations ou des messages standards. La communication de la violation sera ainsi plus claire et transparente.
L’EDPB donne des exemples de méthodes de communication transparentes :
- des messages directs (p. ex. e-mail, SMS) ;
- des notifications ou des bannières bien visibles sur le site internet ;
- des communications postales et des annonces bien visibles dans des médias imprimés.