L’article 32 oblige les responsables de traitement et les sous-traitants à mettre en place des mesures techniques et organisationnelles adaptées pour garantir la sécurité des données personnelles.
Et concrètement, ça veut dire quoi ?
Les organismes doivent protéger les données contre les accès non autorisés, les pertes, les altérations ou les fuites. Cela peut passer par le chiffrement, la pseudonymisation, la gestion des accès, ou encore des procédures internes bien rodées. Le niveau de sécurité doit être adapté aux risques : plus les données sont sensibles, plus la protection doit être solide.