Avant-propos

La gestion des risques permet de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » (article 121 de la loi Informatique et Libertés1). Le règlement général sur la protection des données2 (RGPD) précise que la protection des données personnelles nécessite de prendre les « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette exigence s’impose aussi bien au responsable du traitement de données personnelles qu’aux sous-traitants impliqués (article 32 du RGPD).

Une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on n’est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en œuvre.

Pour vous aider dans votre mise en conformité, ce guide rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique. Ce guide est notamment destiné aux DPO (délégués à la protection des données), RSSI (responsables de la sécurité des systèmes d’information) et informaticiens. Les juristes et les utilisateurs pourront également y trouver des éléments utiles.