Fabrication de la liasse
Déposé par : Le Gouvernement

Supprimer cet article.

Exposé sommaire

Le Gouvernement souhaite la suppression de cet article, introduit par le Sénat, qui a pour objet d’obliger les responsables de traitements et sous-traitants de chiffrer les données de bout en bout, chaque fois que cela est possible.

Cette obligation apparaît excessive au regard du RGPD. Elle peut également s’avérer non pertinente pour certains traitements.

En effet, le chiffrement ne constitue que l’une des mesures pour atténuer les risques inhérents au traitement afin de fin de garantir la sécurité.

L’article 32 du règlement prévoit ainsi que : « Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins ».

Parmi celles-ci, figurent notamment la pseudonymisation et le chiffrement des données à caractère personnel.

Il s’agit donc d’une mesure de sécurité parmi d’autres qui ne saurait être imposée systématiquement au responsable de traitement. Il appartient à ce dernier, au regard du principe de responsabilisation, et sous le contrôle de la CNIL, d’apprécier laquelle de ces mesures est la plus appropriée à son traitement et au risque potentiel qu’il présente.