Il incombe également au responsable du traitement, son représentant ainsi qu'au sous- traitant de veiller au respect
de ces mesures de sécurité.
Ces mesures peuvent notamment comprendre :
1- la pseudonymisation et le chiffrement des données à caractère personnel ;
2- des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des
systèmes et des services de traitement ;
3- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des
délais appropriés en cas d'incident physique ou technique ;
4- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement.
Le choix du sous-traitant et les modalités du contrat liant celui-ci avec le responsable du traitement sont soumis aux
dispositions du présent Livre.
Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des
données et les exigences portant sur les mesures visées à l’alinéa précédent du présent article sont consignés par
écrit ou sous une autre forme équivalente mais garantissant la pérennité et l'inaltérabilité du document.
Article 427 : Responsabilités
Le responsable du traitement doit notifier, sans délai, à l'Autorité et à la personne concernée toute rupture de la
sécurité ayant affecté les données à caractère personnel de la personne concernée.
Le sous-traitant doit avertir, sans délai, le responsable du traitement de toute rupture de la sécurité ayant affecté les
données à caractère personnel qu'il traite pour le compte et au nom du responsable du traitement.
La notification visée à l’alinéa 1er doit, à tout le moins :
1- décrire la nature de la rupture de sécurité ayant affecté des données à caractère personnel y compris, si possible,
les catégories et le nombre approximatif de personnes concernées par la rupture et les catégories et le nombre
approximatif d'enregistrements de données à caractère personnel concernés ;
2- communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact
auprès duquel des informations supplémentaires peuvent être obtenues ;
3- décrire les conséquences probables de la rupture de sécurité ;
4- décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la rupture de
sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
La communication à la personne concernée visée à l’alinéa 1er n'est pas nécessaire si l'une ou l'autre des conditions
suivantes est remplie :
1- le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles
appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite rupture, en
particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui
n'est pas autorisée à y avoir accès, telles que le chiffrement ;
2- le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et
libertés des personnes concernées visé à l’alinéa 1er n'est plus susceptible de se matérialiser ;