LES obligations de confidentialité
Le traitement des données à caractère personnel est confidentiel. Il est effectué
exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement
et seulement sur ses instructions.
Le responsable du traitement doit prendre les mesures nécessaires pour garantir la
confidentialité des données et éviter leur divulgation.
L'obligation de confidentialité est intimement liée à l’obligation de sécurité.
LES obligations de sécurité
Le responsable du traitement est tenu de prendre toute précaution au regard de la nature
des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou
que des tiers non autorisés y aient accès. Lorsque le traitement est mis en œuvre pour le
compte du responsable du traitement, celui-ci choisit un sous-traitant qui apporte des
garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives
aux traitements à effectuer. Il incombe au responsable du traitement ainsi qu’au soustraitant de veiller au respect de ces mesures.
Le responsable du traitement est tenu de :
-
empêcher toute personne non autorisée d’accéder aux installations utilisées pour le
traitement de données ;
-
empêcher que des supports de données puissent être lus, copiés, modifiés ou déplacés par
une personne non autorisée ;
-
empêcher l’introduction non autorisée de toute donnée dans le système d’information,
ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisé
de données enregistrées ;
-
empêcher que des systèmes de traitement de données puissent être utilisés par des
personnes non autorisées à l’aide d’installations de transmission de données ;
-
empêcher que des systèmes de traitement de données soient utilisés à des fins de
blanchiment de capitaux et de financement du terrorisme ;
-
garantir que, lors de l’utilisation d’un système de traitement automatisé de données, les
personnes autorisées ne puissent accéder qu’aux données relevant de leur autorisation ;
-
garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données
peuvent être transmises par des installations de transmission ;
-
garantir que puisse être vérifiée et constatée a posteriori l’identité des personnes ayant eu
accès au système d’information contenant des données à caractère personnel, la nature des
données qui ont été introduites, modifiées, altérées, copiées, effacées ou lues dans les
systèmes, le moment auquel ces données ont été manipulées ;
-
empêcher que, lors de la communication de données et du transport de supports de
données, les données puissent être lues, copiées, modifiées, altérées ou effacées de façon
non autorisée ;
-
sauvegarder les données par la constitution de copies de sécurité protégées.
Le responsable du traitement doit mettre en œuvre toutes les mesures techniques et
l’organisation appropriées pour assurer la protection des données qu’il traite contre la
destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès
2
non autorisé, notamment lorsque le traitement comporte des transmissions de données
dans un réseau, ainsi que contre toute autre forme de traitement illicite.
LES obligations de conservation
La durée de conservation des données à caractère personnel ne saurait être illimitée.
Elles doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard
des finalités pour lesquelles elles sont traitées.
LES obligations de pérennité
Le responsable du traitement est tenu de prendre toute mesure utile pour s’assurer que les
données à caractère personnel traitées peuvent être exploitées quel que soit le support
technique utilisé. Il doit particulièrement s’assurer que l’évolution ne sera pas un obstacle à
une exploitation ultérieure.