Page 35 - revue_N34_juillet

Page 35 - revue_N34_juillet_2021

P. 35

électroniques et des fournis- mésusage de celui-ci ferait cou- accidentelle ou illicite, la des-
seurs de technologies et ser- rir aux personnes concernées ». truction, la perte, l'altération, la
vices de sécurité, constitue un divulgation non autorisée de
intérêt légitime du responsable Cet exercice de mise en balance et données à caractère personnel
du traitement concerné. Il pour- d’application du principe de pro- transmises, conservées ou trai-
rait s'agir, par exemple, d'empê- portionnalité conduit le DPO à tées d'une autre manière, ou
cher l'accès non autorisé à des une approche tout en nuances l'accès non autorisé à de telles
réseaux de communications élec- des mesures de sécurité à mettre données ».
11
troniques et la distribution de en oeuvre. Le principe d’efficacité
codes malveillants, et de faire ne suffit pas à justifier une me- S’il n’est bien évidemment pas
cesser des attaques par « déni sure. Celle-ci doit également le seul acteur de la gestion
de service » et des dommages être proportionnée et néces- d’une telle violation, le DPO a
touchant les systèmes de com- saire. Cette approche s’applique toute sa place et légitimité. En
munications informatiques et à l’ensemble des actions asso- effet, l’article 38-1 du RGPD pré-
électroniques . » ciées à la sécurité de l’informa- voit expressément qu’il soit asso-
8
tion. Ainsi, s’il est certain que cié aux questions relatives à la
Ainsi, la légitimité de la sécuri- l’accès aux serveurs physiques protection des données. L’Autori-
sation des systèmes d’informa- doit être très sécurisé, un con- té de protection des données
tion n’est nullement contestée. trôle d’accès biométrique ne belge a ainsi sanctionné une en-
En revanche, la collecte de sera pas nécessairement justifié tité du fait que le DPO qu’elle
traces est susceptible de faire pour un DPO. D’une part, cette avait désigné n’était pas suffi-
peser un risque de surveillance modalité d’accès engendre des samment associé à la gestion du
excessive des utilisateurs. C’est risques pour les personnes con- risque relatif à une violation de
pour prévenir ce risque et en- cernées et, d’autre part, le DPO données, en relevant que : « Le
courager les responsables de doit s’assurer que des modalités délégué à la protection des don-
traitements à s’en tenir à un ni- de contrôles satisfaisants et nées du défendeur [était] unique-
veau de journalisation et à une moins invasifs ne peuvent pas ment informé du résultat de l’éva-
durée de conservation stricte- être utilisées, à l’instar du con- luation des risques. (…) la matrice
ment nécessaire que la CNIL a trôle d’accès par badge . Cette RACI [indiquait que le DPO était]
10
publié un projet de recomman- appréciation doit bien entendu uniquement "informed" et non
dation relative aux mesures de s’effectuer au regard du secteur "consulted". L'article 38, para-
journalisation, soumis à consul- d’activité et de la sensibilité de graphe 1, du RGPD requiert tou-
tation publique . Ce document l’information, des locaux, appli- tefois que le DPO soit associé,
9
vise à ménager un équilibre cations ou appareils à protéger. d'une manière appropriée et en
entre l’enjeu de sécurité et la temps utile, à toutes les ques-
préservation des droits et liber- Le DPO aborde également la cy- tions relatives à la protection
tés des utilisateurs du système bersécurité sous l’angle de la des données à caractère person-
d’information, notamment eu concrétisation des risques de nel . »
12
égard à la surveillance systéma- sécurité, avec la gestion des vio-
tique de ces derniers. La CNIL lations de données. Quel rôle le DPO doit-il jouer en
rappelle ainsi dans son projet cas de violation en définitive ?
« qu’il convient de veiller à limi- IV. DPO et violations de En amont, en cas de recours à la
ter les risques portant sur ces données sous-traitance au sens du RGPD,
catégories de personnes, en le DPO a tout intérêt à s’assurer
proportionnant la collecte, au La notification des violations de que les contrats conclus stipu-
sein des journaux, de données à données généralisée à l’en- lent une obligation de notifica-
caractère personnel relatives semble des acteurs est l’une des tion de tout incident de sécurité
aux utilisateurs habilités, à la grandes innovations du RGPD. à la charge des cocontractants et
sensibilité des données à carac- La violation de données se défi- pas uniquement des violations de
tère personnel du traitement nit comme « une violation de la données ; même si l’article 33-2
principal et aux risques qu’un sécurité entraînant, de manière du RGPD limite la notification

35
N 34– Juillet 2021
°

30 31 32 33 34 35 36 37 38 39 40