Sécurité du SI

Section 3 Chapitre III de la Loi 09-08 : Des obligations de confidentialité et de sécurité des traitements et de secret professionnel

Article 23

1. Le responsable du traitement doit mettre en oeuvre les mesures techniques et organisationnelles appropriées pour protéger lesdonnées à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès nonautorisé, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme detraitement illicite. Ces mesures doivent assurer, compte tenu de l'Etat de l'art et des coûts liés à leur mise en oeuvre, un niveau de sécuritéapproprié au regard des risques présentés par le traitement et de la nature des données à protéger ;

2. Le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous‐traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer et il doit veiller au respect de ces mesures ;

3.La réalisation de traitements en sous‐traitance doit être régie par un contrat ou un acte juridique qui lie le sous‐traitant au responsable du traitement et qui prévoit notamment que le sous‐traitant n'agit que sous la seule instruction du responsable du traitement et que les obligations visées au paragraphe 1 ci‐dessus lui incombent également ;

3.Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatif à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 ci‐dessus sont consignés par écrit ou sous une autre forme équivalente.

Article 24

1.Les responsables du traitement des données sensibles ou relatives à la santé doivent prendre les mesures appropriées pour :

a) empêcher l'accès de toute personne non autorisée aux installations utilisées pour le traitement de ces données (contrôle de l'entrée dans les installations) ;

b) empêcher que les supports de données puissent être lus, copiés, modifiés ou retirés par des personnes non autorisées (contrôle des supports de données) ;

c) empêcher l'introduction non autorisée, ainsi que la prise de connaissance, la modification ou l'élimination non autorisées de données à caractère personnel introduites (contrôle de l'insertion) ;

d) empêcher que les systèmes de traitement automatisés de données puissent être utilisés par des personnes non autorisées au moyen d'installations de transmission de données (contrôle de l'utilisation) ;

e) garantir que seules les personnes autorisées puissent avoir accès aux données visées par l'autorisation (contrôle de l'accès) ;

f) garantir la vérification des entités auxquelles les données à caractère personnel peuvent être transmises par des installations de transmission de données (contrôle de la transmission) ;

g)garantir qu'il soit possible de vérifier a posteriori, dans un délai approprié en fonction de la nature du traitement à fixer dans la réglementation applicable à chaque secteur particulier, quelles données à caractère personnel sont introduites, quand elles l'ont été et pour qui (contrôle de l'introduction) ;

h) empêcher que lors de la transmission de données à caractère personnel et du transport des supports, les données puissent être lues,reproduites, modifiées ou éliminées sans autorisation (contrôle du transport).

2.Suivant la nature des organismes responsables du traitement et du type d'installations avec lequel il est effectué, la Commission nationale peut dispenser de certaines mesures de sécurité, à condition que le respect des droits, libertés et garanties des personnes concernées soit assuré.

Article 25

Toute personne agissant sous l'autorité du responsable du traitement ou de celle du sous‐traitant , ainsi que le sous‐traitant lui‐même qui accède à des données à caractère personnel ne peut les traiter que sur instruction du responsable du traitement, sauf en vertu d'obligations légales.

Article 26

Le responsable du traitement de données à caractère personnel, ainsi que les personnes qui, dans l'exercice de leurs fonctions, ont connaissance de données à caractère personnel traitées, sont tenues de respecter le secret professionnel même après avoir cessé d'exercer leurs fonctions, dans les termes prévus par la loi pénale.

Les dispositions de l'alinéa premier ci‐dessus n'exemptent pas de l'obligation de fournir des informations, conformément aux dispositions légales applicables aux fichiers en cause ou conformément à la législation de droit commun.

 

Guide de sécurité

Consultez le "Guide sécurité" de la CNIL pour protéger les données personnelles de votre organisme.