Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Il prend, en particulier, toute mesure visant à :
1) garantir que, pour l’utilisation d’un système de traitement automatisé de données, les personnes autorisées ne puissent accéder qu’aux données à caractère personnel relevant de leur compétence ;
2) garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des données à caractère personnel peuvent être transmises ;
3) garantir que puisse être vérifiée et constatée à posteriori l’identité des personnes ayant eu accès au système d’information et quelles données ont été lues ou introduites dans le système, à quel moment et par quelle personne ;
4) empêcher toute personne non autorisée d’accéder aux locaux et aux équipements utilisés pour le traitement des données ;
5) empêcher que des supports de données puissent être lus, copiés, modifiés, détruits ou déplacés par une personne non autorisée ;
6) empêcher l’introduction non autorisée de toute donnée dans le système d’information ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisés de données enregistrées ;
7) empêcher que des systèmes de traitements de données puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données ;
8) empêcher que, lors de la communication de données et du transport de supports de données, les données puissent être lues, copiées, modifiées ou effacées de façon non autorisée ;
9) sauvegarder les données par la constitution de copies de sécurité ;
10) rafraîchir et si nécessaire convertir les données pour un stockage pérenne.