C’est une obligation issue du RGPD consistant à imposer au responsable des traitements et au sous-traitant de prendre les mesures nécessaires pour assurer la sécurité des données personnelles contenues dans son système d’Information sur un plan physique et logique et pour prévenir, réagir et corriger les éventuelles violations de sécurité.
Les mesures de sécurité reposent sur 4 critères : DCIP/DCIT (Disponibilité, Confidentialité, Intégrité, Preuve/Traçabilité) des données personnelles.
Sur la base de la norme NF ISO/IEC 27001, il est recommandé de :
- Mettre en place des mesures de :
o contrôle d’accès ;
o détection d’intrusion ;
o détection et extinction d’incendie ;
o détection et prévention de dégâts des eaux, des risques liés aux rongeurs ou des risques liés aux crues ;
o double sauvegarde des fichiers sur sites distants ;
o protection des données telles que notamment le chiffrement, la pseudonymisation ou l’anonymisation ;
- Définir une Politique de Sécurité du Système d’Information (PSSI).