Le règlement européen européen dispose dans son article 32 que : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque« .
Or, il est parfois difficile, lorsque l’on n’est pas familier avec les méthodes de gestion des risques, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été fait.
La CNIL publie un guide pouvant être utilisé dans le cadre d’une gestion des risques.
Il est constituée des quatre étapes suivantes :
- Recenser les traitements de données à caractère personnel ;
- Apprécier les risques engendrés par chaque traitement ;
- Mettre en œuvre et vérifier les mesures prévues ;
- Faire réaliser des audits de sécurité périodiques.