Mise en oeuvre des mesures techniques et organisationnelles (MTO)
I. Mesures techniques et organisationnelles (général)
Les mesures techniques et organisationnelles constituent l'ensemble de mesures que le responsable de traitement est tenu de mettre en œuvre pour assurer la sécurité des traitements et des données. - Article 57 de la loi informatique et libertés ; Article 24, 1° du Règlement sur la protection des données
Dans ce processus, il est important de tenir compte de l'état des connaissances et du coût des mesures à mettre en place.
Ces mesures permettent de répondre à l'obligation de mise en conformité d'un traitement de données personnels au regard des dispositions du RGPD et, en particulier, d'assurer la sécurité du traitement des données. - Article 6, 6° de la Loi informatique et libertés ; Article 32, 1° du Règlement sur la protection des données
Le responsable de traitement est, en effet, tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. - Article 121 de la Loi informatique et libertés ; Article 32, 1° du Règlement sur la protection des données
Ces mesures doivent être régulièrement réévaluées et adaptées afin de répondre efficacement aux évolutions des risques et des contextes de traitement.
A. Mesures techniques
Le RGPD ne fixe pas de liste exhaustive des mesures techniques à adopter, mais il en propose plusieurs exemples pour garantir la sécurité des données personnelles, comme :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
B. Mesures organisationnelles
En ce qui concerne les mesures organisationnelles, celles-ci comprennent principalement :
- la formation des personnes impliquées dans le traitement des données personnelles,
- l'instauration de règles d’hygiène informatique strictes,
- la mise en place de politiques de sécurité pour les locaux,
- la définition de procédures claires à suivre en cas de violation de données personnelles.
II. Mesures techniques et organisationnelles en cas de communication des données
La sécurité doit être assurée lorsque les données sont communiquées à d’autres personnes, les destinataires au sens du Règlement général sur la protection des données, qu’on appelle les destinataires.
- Lexique : Destinataire
« Personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ».
- Article 4, 9° du Règlement général sur la protection des données
A. Données personnelles (hors santé)
Les autorités publiques habilitées à recueillir des données personnelles dans le cadre de missions d’enquête sont exclues de cette définition. Pour celles-ci, la communication des données est considérée comme conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.
Certains traitements peuvent être autorisés par des actes (arrêté ou décret), pris après avis de la CNIL. Dans ce cas, les destinataires ou les catégories de destinataires habilités à recevoir communication de ces données, doivent être précisés. – Article 35 de la Loi informatique et libertés :
- le ou les ministres compétents peuvent autoriser par arrêté les traitements de données, après avis de la CNIL, lorsqu’ils intéressent la sûreté de l’État, la défense ou la sécurité publique ou lorsqu’ils ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûretés. – Article 31 de la Loi informatique et libertés
- le Conseil d’État peut donner une autorisation par décret, après avis de la CNIL, pour les traitements mis en œuvre pour le compte de l’État et qui portent sur des données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes. – Article 32 de la Loi informatique et libertés
Lorsqu’il y a plusieurs destinataires des mesures doivent être prises pour assurer la sécurisation de la communication des données.
Recherche scientifique
Lorsqu’il s’agit de communiquer des données personnelles avec les destinataires des données, les pratiques doivent être mises en conformité au regard du RGPD.
Pratiques à prohiber
- Utilisation d’une messagerie non sécurisée pour les échanges d’information
- Interactions entre les messageries privées et professionnelles
- Outils pour réaliser des enquêtes en ligne dont les serveurs sont à l’étranger (Google Forms, par exemple)
- Enregistrement de fichiers sur les postes de travail alors qu’ils ne sont accessibles qu’à partir d’espaces de travail sécurisés
- Échanges de fichiers contenant des données personnelles sensibles par messagerie sans chiffrement des messages
Pratiques à privilégier
- Authentification des utilisateurs des outils numériques (certificats, mots de passe)
- Gestion des habilitations (accès aux sites et aux données aux seules personnes habilitées par le responsable du traitement ou du programme de recherche)
- Sécurisation des outils (chiffrement des ordinateurs ou des smartphones)
- Protection des réseaux informatiques internes, sécurisation des échanges entre organismes, unités et chercheurs
- Utilisation d’outils sécurisés pour les visioconférences
– InSHS, Les sciences humaines et sociales et la protection des données à caractère personnel, p. 24
B. Données personnelles de santé
Lors de la transmission des données de santé par les membres des professions de santé à un responsable de traitement des données, l’obligation de sécurité est renforcée. – Article 68, al. 1° de la Loi informatique et libertés
La transmission de ces données doit être effectuée dans des conditions de nature à garantir leur confidentialité des données lorsque celles-ci permettent l’identification des personnes. – Article 68, al. 2 de la Loi informatique et libertés
Le responsable de traitement est tenu à la confidentialité et doit veiller à la sécurité des informations et de leur traitement, ainsi qu’au respect de la finalité de celui-ci conformément aux dispositions de l’article 66 de la Loi informatique et libertés, en veillant, notamment, à respecter les méthodologies de référence établies par la CNIL.
Lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être rendue impossible.
Enfin, les personnes appelées à mettre en œuvre le traitement de données, ainsi que celles qui ont accès aux données sur lesquelles il porte, sont astreintes au secret professionnel sous les peines prévues par le Code pénal. – Article 226-13 du Code pénal
III. Mesures techniques et organisationnelles en cas de diffusion via Internet
Lorsque des données personnelles font l'objet d'un traitement dont les résultats sont destinés à être diffusés via Internet, les mesures techniques doivent être renforcées.
Il en est ainsi, par exemple, lorsque les données issues des archives publiques sont sollicitées à des fins diverses.
Les archives publiques concernent les registres d’état civil, les questionnaires de recensement, les registres d’écrou des prisons, des fichiers d’hospitalisation et des fichiers de recensement de certaines catégories de populations (prostituées, proxénètes, étrangers…). Parce qu'elles concentrent un volume important de données personnelles, voire sensibles, leur traitement doit répondre à des conditions précises.
La CNIL a imposé l’adoption de mesures de sécurité permettant d’éviter le téléchargement massif d’archives. En outre, « [e]n cas de recours à un prestataire de services, le responsable du traitement doit imposer à ce prestataire, par voie contractuelle, de n’utiliser les données qu’aux fins prévues, de s’assurer de leur confidentialité et de procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de sa prestation ».