« Les données doivent être traitées de façon à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, ou l’accès par des personnes non autorisées, à l’aide de mesures techniques ou organisationnelles déterminées ».

- Article 4, 6° de la Loi informatique et libertés ; Article 5, 1°, f) du Règlement général sur la protection des données

L'obligation de sécurité est destinée à protéger les personnes concernées contre l’accès aux traitements par des personnes non autorisées. Il s’agit ainsi d’assurer la protection des données à l’égard des tiers.

L’obligation de sécurité incombe au responsable de traitement, ou le cas échéant, au sous-traitant. En effet, le sous-traitant est tenu de prendre toutes les mesures nécessaires conformément à l’article 32 du RGPD, qui traite de la sécurité des données. – Article 28, 3°, c) du Règlement général sur la protection des données

Il doit également aider le responsable de traitement à garantir le respect des obligations prévues notamment à l’article 32 du RGPD, en matière de prévention et de gestion des mesures techniques et organisationnelles (MTO). – Article 28, 3°, f) du Règlement général sur la protection des données

Le responsable de traitement doit : 

1. s’assurer des garanties offertes par le sous-traitant, ce qui inclut la vérification de la capacité du sous-traitant à mettre en œuvre des mesures techniques et organisationnelles suffisantes pour protéger les données ; 
2. formaliser la relation contractuelle, en effet, un contrat ou un autre acte juridique doit définir précisément les obligations du sous-traitant, y compris en matière de sécurité des données.

Le sous-traitant agit donc sous l’autorité du responsable de traitement, ce qui signifie que celui-ci endosse seul la responsabilité. 

Cependant, si le sous-traitant ne respecte pas ses obligations spécifiques en matière de sécurité (par exemple, s’il ne prend pas les mesures appropriées prévues par l’article 32 du RGPD), il peut également être sanctionné en tant que partie autonome.

La sécurisation des données doit être exécutée «[c]ompte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques ». 

Le principe de l'obligation de sécurité est donc adapté au contexte, aux risques et aux besoins propres à chaque traitement données. Cela se traduit par la mise en œuvre de mesures techniques et organisationnelles comme :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. 

– Article 32, 1° du Règlement général sur la protection des données

La sécurité des traitements doit en outre être renforcée lorsque les données ont vocation à être communiquées à des tiers. Les mesures techniques et organisationnelles (MTO) doivent également être adaptées en ce sens.

L'obligation de sécurité doit être exécutée conformément au principe de responsabilité qui impose au responsable de traitement une obligation de mise en conformité grâce à des outils adaptés.

Cette obligation consiste dans le fait :

1. d'assurer la conformité en mettant en place des mesures adaptées au contexte et aux risques associés au traitement des données ;
2. de démontrer la conformité en étant capable de prouver à tout moment que les mesures prises sont conformes au RGPD.

La sécurisation des données repose sur une approche proactive et continue, fondée sur une évaluation régulière des risques et l’adaptation des mesures de sécurité au regard des droits et libertés des personnes concernées.

La protection des données personnelle doit être assurée dès la conception et par défaut. – Article 25 du Règlement général sur la protection des données. Le responsable de traitement doit donc adopter des mesures appropriées dès les premières étapes de conception d’un traitement. Ces mesures doivent être « adaptées » au contexte spécifique du traitement. - CEPD, Lignes directrices 4/2019 relatives à l’article 25, Protection des données dès la conception et protection des données par défaut, V. 2.0, 20 oct. 2020, n° 8

Par défaut, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles qui limitent strictement le traitement aux données nécessaires à une finalité déterminée. Ce principe vise à minimiser les données collectées, conservées et utilisées, garantissant ainsi une meilleure protection pour les individus.

Parmi les mesures de nature à démontrer la conformité du traitement eu égard à l’obligation de sécurisation des données, il existe : 

• l’adhésion à des codes de conduite,
• la certification des traitements,
• la tenue d’un registre des activités de traitement. – Article 100 de la Loi informatique et libertés ; Article 30 du Règlement général sur la protection des données
• la notification des failles de sécurité aux autorités de contrôle et aux personnes concernées. – Article 58 de la Loi informatique et libertés ; Articles 33 et 34 du Règlement général sur la protection des données
• l’analyse d’impact relatives à la protection des données. – AIPD, Article 62 de la Loi informatique et libertés ; Article 35 du Règlement général sur la protection des données
• la désignation d’un délégué à la protection des données. – Article 103 de la Loi informatique et libertés ; Article 37 du Règlement général sur la protection des données