Le traitement des données à caractère personnel est confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement et seulement sur ses instructions. Le responsable du traitement doit prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation. L'obligation de confidentialité est intimement liée à l’obligation de sécurité.

Le responsable du traitement est tenu de prendre toute précaution au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Lorsque le traitement est mis en œuvre pour le compte du responsable du traitement, celui-ci choisit un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer. Il incombe au responsable du traitement ainsi qu’au soustraitant de veiller au respect de ces mesures.
Le responsable du traitement est tenu de :

• empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données ;
• empêcher que des supports de données puissent être lus, copiés, modifiés ou déplacés par une personne non autorisée ;
• empêcher l’introduction non autorisée de toute donnée dans le système d’information, ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisé de données enregistrées ;
• empêcher que des systèmes de traitement de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;
• empêcher que des systèmes de traitement de données soient utilisés à des fins de blanchiment de capitaux et de financement du terrorisme ;
• garantir que, lors de l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données relevant de leur autorisation ;
• garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données peuvent être transmises par des installations de transmission ;
• garantir que puisse être vérifiée et constatée a posteriori l’identité des personnes ayant eu accès au système d’information contenant des données à caractère personnel, la nature des données qui ont été introduites, modifiées, altérées, copiées, effacées ou lues dans les systèmes, le moment auquel ces données ont été manipulées ;
• empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées, altérées ou effacées de façon non autorisée ;
• sauvegarder les données par la constitution de copies de sécurité protégées. Le responsable du traitement doit mettre en œuvre toutes les mesures techniques et l’organisation appropriées pour assurer la protection des données qu’il traite contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès 2 non autorisé, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

La durée de conservation des données à caractère personnel ne saurait être illimitée. Elles doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Le responsable du traitement est tenu de prendre toute mesure utile pour s’assurer que les données à caractère personnel traitées peuvent être exploitées quel que soit le support technique utilisé. Il doit particulièrement s’assurer que l’évolution ne sera pas un obstacle à une exploitation ultérieure.