arrow_back Retour à tous les articles

Article 32
Sécurité du traitement

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 32 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 32 keyboard_arrow_up

(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.

(83) Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en oeuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l'état des connaissances et des coûts de mise en oeuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l'évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral.

Afficher les considérants de la Directive 95/46 liés à l'article 32 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 32 keyboard_arrow_up

Considérant 25 : « (25) considérant que les principes de la protection doivent trouver leur expression, d'une part, dans les obligations mises à la charge des personnes, autorités publiques, entreprises, agences ou autres organismes qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l'autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d'autre part, dans les droits donnés aux personnes dont les données font l'objet d'un traitement d'être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s'opposer au traitement dans certaines circonstances »

Considérant 37 : « (37) considérant que le traitement de données à caractère personnel à des fins de journalisme ou d'expression artistique ou littéraire, notamment dans le domaine audiovisuel, doit bénéficier de dérogations ou de limitations de certaines dispositions de la présente directive dans la mesure où elles sont nécessaires à la conciliation des droits fondamentaux de la personne avec la liberté d'expression, et notamment la liberté de recevoir ou de communiquer des informations, telle que garantie notamment à l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales; qu'il incombe donc aux États membres, aux fins de la pondération entre les droits fondamentaux, de prévoir les dérogations et limitations nécessaires en ce qui concerne les mesures générales relatives à la légalité du traitement des données, les mesures relatives au transfert des données vers des pays tiers ainsi que les compétences des autorités de contrôle, sans qu'il y ait lieu toutefois de prévoir des dérogations aux mesures visant à garantir la sécurité du traitement; qu'il conviendrait également de conférer au moins à l'autorité de contrôle compétente en la matière certaines compétences a posteriori, consistant par exemple à publier périodiquement un rapport ou à saisir les autorités judiciaires;

Considérant 46 : « (46) considérant que la protection des droits et libertés des personnes concernées à l'égard du traitement de données à caractère personnel exige que des mesures techniques et d'organisation appropriées soient prises tant au moment de la conception qu'à celui de la mise en oeuvre du traitement, en vue d'assurer en particulier la sécurité et d'empêcher ainsi tout traitement non autorisé; qu'il incombe aux États membres de veiller au respect de ces mesures par les responsables du traitement; que ces mesures doivent assurer un niveau de sécurité approprié tenant compte de l'état de l'art et du coût de leur mise en oeuvre au regard des risques présentés par les traitements et de la nature des données à protéger;

Guidelines

Ici viendront les guidelines

D'où vient-on ?

La Directive, en son article 17, imposait au responsable du traitement de prendre des mesures techniques et d’organisation appropriées en vue de protéger les données. Ces mesures devaient assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

En cas de recours à un sous-traitant, le responsable du traitement devait veiller à ce que ce dernier apporte des garanties suffisantes quant à la mise en œuvre et au respect des mesures de sécurité à effectuer.

Un contrat ou acte juridique obligatoire devait le lier au sous-traitant, celui-ci mentionnant notamment que ce dernier n’agissait que sur instruction du responsable du traitement ainsi que les mesures de sécurité qu’il devait prendre.

Belgique

Le droit belge avait implémenté cette disposition à l’article 16 de la loi du 8 décembre 1992 en précisant certaines obligations du responsable du traitement. Ainsi, devait-il faire toute diligence pour tenir les données à jour ou les corriger (art. 16, § 2, 1°), limiter l’accès aux données aux personnes agissant sous son autorité (art. 16, § 2, 2°), informer ces dernières des dispositions légales et réglementaires régissant la matière (art. 16, § 2, 3°), s’assurer de la conformité des programmes servant au traitement avec les termes de la déclaration visée à l’article 17 de la loi (art. 16, § 2, 4°).

Enfin, l’article 16, § 4 de la loi du 8 décembre 1992 rappelle que le principe de sécurité implique que le responsable et le sous-traitant prennent les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel, compte tenu de l’état de la technique et de la nature des données et des risques potentiels.

France

En droit français, l’article 34 définit de manière générale l’obligation de sécurité incombant au responsable selon laquelle il doit prendre toutes les précautions utiles au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Enfin, l’article 34 autorise également le législateur à fixer, par voie de décrets, les prescriptions techniques auxquelles doivent se conformer certains traitements.

Par ailleurs, l’article 35 oblige le sous-traitant à présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34, sans que le responsable ne soit déchargé de son obligation de sécurité et de confidentialité. En d’autres termes, en cas de sous-traitance, le responsable assume l’obligation de vérifier la capacité du sous-traitant à assurer la sécurité et la confidentialité des traitements.

L’article 35 prévoit enfin la conclusion d’un contrat entre le responsable et le sous-traitant et précise les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données. Ce contrat doit en outre souligner que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

Où va-t-on ?

 

L’article 32 du Règlement reprend en substance, en les étendant, le contenu des dispositions de la Directive relatives aux devoirs de sécurité.

L’objet principal de l’obligation reste la mise en œuvre des mesures techniques et organisationnelles appropriées par le responsable du traitement et le sous-traitant pour garantir un niveau de sécurité approprié au risque. Le risque est donc logiquement le critère principal de la mesure à prendre. Cette référence directe au risque est neuve par rapport à la Directive. Il s’agit néanmoins toujours d’une norme prévoyant un « standard » de comportement sans que l’on y trouve le contenu réel de la norme qui doit être apprécié par ses destinataires eux-mêmes. Le nouveau Règlement  tente de préciser la norme de différentes manières :

-en amont, il précise les critères généraux d’appréciation des mesures appropriées : il faudra avoir égard à l’état de l’art et aux coûts de l’implémentation des mesures de sécurité en tenant compte de la nature, la portée, le contexte et les finalités du traitement aussi bien que de la vraisemblance et de la gravité du risque d’atteinte au aux droits et libertés de la personne concernée. Cette prise en considération du risque est également éclairée par le 2e paragraphe de l’article 32 qui en précise l’origine et l’objet c’est-à-dire les risques pour le traitement des données lui-même, en particulier, la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel transmises, stockées ou faisant l'objet d'un traitement de données;.

-en aval, le Règlement -dans sa dernière version- énonce quatre catégories de mesures qui pourront être, entre autres, appropriées selon les besoins. D’abord, la pseudonymisation et le chiffrement des données à caractère personnel (a). Ensuite, la capacité d’assurer, de manière permanente, la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement (b). Il vise aussi l’aptitude à restaurer la disponibilité et l’accès aux données dans un délai raisonnable en cas d’incident physique ou technique (c). Enfin, la mise en place d’un processus régulier de test et d’évaluation des mesures techniques et organisationnelles prises pour garantir la sécurité du traitement (d).

Tant le responsable du traitement que le sous-traitant sont soumis au respect de la même règle, même si dans sa relation avec le sous-traitant, le responsable est en outre soumis à certaines règles spécifiques qui ont été rassemblées à l’article 28 du Règlement.

Le Règlement, conscient de la difficulté pour les responsables de traitement et sous-traitants de se conformer à un devoir dont le contenu est forcément assez vague indique que la soumission à un code de conduite approuvé, visé à l'article 40, ou à un mécanisme de certification approuvé, visé à l'article 42, peut être utilisé comme un élément pour démontrer la conformité aux exigences du devoir de sécurité.

Rappelons que l’article 30, 4) oblige ici encore (cfr déjà l’article 29) responsables et sous-traitants à prendre les mesures pour garantir que les personnes agissant sous leur autorité et qui ont accès aux données ne traite les données que sur instruction non seulement du responsable que du sous-traitant.

Difficultés probables

Le nouveau texte ne fera pas disparaître toutes les difficultés d’appréciation du devoir de sécurité, auxquelles sont depuis des années confrontés les responsables et sous-traitants.

Le texte de l’article 32, en sa version finale tente néanmoins de donner des critères d’évaluation de la portée et de l’étendue du devoir de sécurité.

Il n’empêche que sa correcte exécution dépendra, dans la structure du responsable du traitement, de la qualité du dialogue et de la communication entre le juriste (et/ou le compliance officer et/ou le DPO) et le technicien, étant, chacun d’eux, bien incapables d’y donner seul une suite éclairée.

La substance de l’obligation est en effet technique et la règle de droit ne peut perdre sa neutralité face à un environnement technique en constante évolution. Il revient alors aux techniciens d’informer le juriste ou le décideur afin qu’il puisse opérer les choix des mesures de sécurité de la manière la plus éclairée. Mais ce dernier semble de plus en plus dépendant d’une connaissance et maîtrise qui lui échappe souvent totalement.

Le Règlement paraît d’ailleurs se rendre compte du grand dénuement des destinataires de la règle en les « invitant » à se soumettre à des codes de conduite ou processus de certification, censés quant à eux contenir des règles et mesures plus précises. Reste à voir quand ils seront disponibles et comment ils seront mis-en-œuvre notamment au niveau de l’indépendance et de la neutralité d’éventuelles autorités de certification.

Règlement
1e 2e

Art. 32

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément attestant du respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous- traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

Proposition 1 close

1. Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir, compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en œuvre, un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à caractère personnel à protéger.

2. À la suite d'une évaluation des risques, le responsable du traitement et le sous-traitant prennent les mesures prévues au paragraphe 1 pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite et la perte accidentelle et pour  empêcher toute forme illicite de traitement, notamment la divulgation, la diffusion ou l'accès non autorités, ou l'altération de données à caractère personnel.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mesures techniques et d'organisation visées aux paragraphes 1 et 2, y compris le point de savoir quelles sont les techniques les plus modernes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données, notamment compte tenu de l'évolution des techniques et des solutions de protection des données dès la conception ainsi que par défaut, sauf si le paragraphe 4 s'applique.

4. La Commission peut adopter, le cas échéant, des actes d'exécution afin de préciser les exigences prévues aux paragraphes 1 et 2 dans diverses situations, en particulier en vue:

a) d’empêcher tout accès non autorisé à des données à caractère personnel;

b) d'empêcher toute forme non autorisée de divulgation, de lecture, de copie, de modification, d'effacement ou de suppression de données à caractère personnel;

c) d'assurer la vérification de la licéité des traitements. Ces actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

Compte tenu des techniques disponibles et des coûts liés à la mise en œuvre et prenant en considération la nature, la portée, le contexte et les finalités du traitement ainsi que la probabilité et la gravité du risque pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées, notamment (...) la pseudonymisation de données à caractère personnel, afin de garantir un niveau de sécurité approprié au regard du risque.

1 bis. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement des données (...), résultant notamment de la destruction accidentelle ou illégale, de la perte, de l'altération, de la divulgation ou de l'accès non autorisé à des données à caractère personnel transmises, stockées ou faisant l'objet d'un autre traitement.

2. (…)

2 bis. L'adhésion aux codes de conduite approuvés visés à l'article 38 ou un mécanisme de certification approuvé visé à l'article 39 peuvent être utilisés comme moyen d'attester du respect des exigences visées au paragraphe 1.

2 ter. Le responsable du traitement et le sous-traitant prennent des mesures pour que toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne puisse les traiter que sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou la législation d'un État membre.

3. (…)

4. (…)

Directive

Art. 17

1. Les États membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et qu'il doit veiller au respect de ces mesures.

3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:

- le sous-traitant n'agit que sur la seule instruction du responsable du traitement,

- les obligations visées au paragraphe 1, telles que définies par la législation de l'État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

4. Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.

France

Art. 34

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Des décrets, pris après avis de la Commission nationale de l'informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l'article 8.

Art. 35

(…)

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

 

Belgique

Art. 16

§ 1er. Lorsque le traitement est confié à un sous-traitant, le responsable du traitement ou, le cas échéant, son représentant en Belgique, doit :

  1° choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements;

  2° veiller au respect de ces mesures notamment par la stipulation de mentions contractuelles;

  3° fixer dans le contrat la responsabilité du sous-traitant à l'égard du responsable du traitement;

  4° convenir avec le sous-traitant que celui-ci n'agit que sur la seule instruction du responsable du traitement et est tenu par les mêmes obligations que celles auxquelles le responsable du traitement est tenu en application du paragraphe 3;

  5° consigner par écrit ou sur un support électronique les éléments du contrat visés aux 3° et 4° relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 3.

  § 2. Le responsable du traitement ou, le cas échéant, son représentant en Belgique, doit :

  1° faire toute diligence pour tenir les données à jour, pour rectifier ou supprimer les données inexactes, incomplètes, ou non pertinentes, ainsi que celles obtenues ou traitées en méconnaissance des articles 4 à 8;

  2° veiller à ce que, pour les personnes agissant sous son autorité, l'accès aux données et les possibilités de traitement soient limités à ce dont ces personnes ont besoin pour l'exercice de leurs fonctions ou à ce qui est nécessaire pour les nécessités du service;

  3° informer les personnes agissant sous son autorité des dispositions de la présente loi et de ses arrêtés d'exécution, ainsi que de toute prescription pertinente, relative à la protection de la vie privée à l'égard des traitements des données à caractère personnel;

  4° s'assurer de la conformité des programmes servant au traitement automatisé des données à caractère personnel avec les termes de la déclaration visée à l'article 17 ainsi que de la régularité de leur application.

  § 3. Toute personne agissant sous l'autorité du responsable du traitement ou celle du sous-traitant, ainsi que le sous-traitant lui-même, qui accède à des données à caractère personnel, ne peut les traiter que sur instruction du responsable du traitement, sauf en cas d'une obligation imposée par ou en vertu d'une loi, d'un décret ou d'une ordonnance.) <L 1998-12-11/54, art. 23, 004; En vigueur : 01-09-2001>

  (§ 4.) Afin de garantir la sécurité des données à caractère personnel, le (responsable du traitement et, le cas échéant, son représentant en Belgique, ainsi que le sous-traitant doivent prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel) contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel. <L 1998-12-11/54, art. 23, 004; En vigueur : 01-09-2001>

Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques potentiels.

Sur avis de la Commission de la protection de la vie privée, le Roi peut édicter des normes appropriées en matière de sécurité informatique pour toutes ou certaines catégories de traitements.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK