A quelle occasion le RGPD fait référence au concept des « mesures techniques et organisationnelles »?
Le RGPD fait référence à la notion de « mesures techniques et organisationnelles » dans plusieurs articles et parfois même à plusieurs reprises au sein du même article.
L’article 4 du RGPD consacré aux définitions précise, dans le cadre de la pseudonymisation des données, que des mesures techniques et organisationnelles doivent être appliquées aux informations supplémentaires.
Enumérant les principes encadrant le traitement des DCP, l’article 5 du RGPD mentionne à son tour les mesures techniques et organisationnelles appliquée cette fois aux archives et à la limitation de la conservation des données personnelles.
Sans qu’il soit nécessaire d’énumérer tous les articles, il en va de même concernant les articles à l’article 28 relatifs au sous-traitant (article 28) ou encore à la sécurité du traitement (article 32).
Quelles distinctions entre des « mesures techniques » et des « mesures organisationnelles » au sens du RGPD?
La différence entre une « mesure technique » et une « mesure organisationnelle » n’est pas forcément évidente au premier abord et pour cause, la majorité des professionnels de la mise en conformité font généralement référence à cette notion telle un bloc un peu fourre-tout.
Les mesures techniques
Il s’agit des solutions et outils techniques dédiées à sécuriser la donnée et généralement appliqués sur l’environnement proche du support abritant la donnée.
- La pseudonymisation
- La protection des hébergements: serveurs dédiés plutôt que mutualisé
- L’identification et authentification
Les mesures organisationnelles (en savoir plus)
Il s’agit des précautions et des procédures mises en place pour garantir la sécurité des données.
- La Politique de Sécurité des Systèmes d’Information – PSSI
- Politique des habilitations
- Connaissance de la donnée:
- Cartographie des données
- Registre des traitements et des activités
- Sensibilisation et formation
- Sécurité juridique:
- Politique de confidentialité
- Contrat de travail
- DPA
- Certifications
En pratique
S’l s’agit bien de deux catégories distinctes de mesures une confusion vient du fait que mesures techniques et organisationnelles se recoupent et s’enchevêtrent en pratique. Les mesures organisationnelles sont construitent et s’appuient sur les respect de procédures impliquant inévitablement l’activation de mesures techniques.