20. Как Европейский ВВПР, так и Французский закон о защите данных налагают обязательство безопасности на контролера:

«Контроллер данных должен принять все полезные меры предосторожности в отношении характера данных и рисков обработки, чтобы сохранить безопасность данных и, в частности, предотвратить их изменение и повреждение или доступ неавторизованным третьим лицам». parties6 «.

«Принимая во внимание уровень техники, затраты на реализацию и характер, объем, контекст и цели обработки, а также риск варьирования вероятности и степени тяжести для прав и свобод физических лиц, контролер и обработчик должны принять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску7 ».

21. Статья 32 GDPR дополняет обязательство по обеспечению безопасности, указывая, что осуществляемые технические и организационные меры могут включать в соответствующих случаях:

псевдоним и шифрование персональных данных.

22. Псевдонимизация. В соответствии с Чит-28 ГДП:

«Применение псевдонима к персональным данным может снизить риски для соответствующих субъектов данных и помочь контролерам и обработчикам выполнить свои обязательства по защите данных. Явное введение «псевдонимов» в этот Регламент не имеет целью исключить какие-либо другие меры защиты данных ».

23. Статья 4 (5) GDPR определяет псевдонимизацию как «обработку персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация является хранится отдельно и подвергается техническим и организационным мерам, чтобы гарантировать, что личные данные не будут отнесены к идентифицированному или идентифицируемому физическому лицу ».

24. Шифрование. Статья 30 французского Закона об уверенности в цифровой экономике, известная как «LCEN» 8, устанавливает, что:

использование средств криптологии означает бесплатное использование;

поставка, передача из или в государство-член Европейского сообщества, ввоз и вывоз средств криптологии, обеспечивающих исключительно функции аутентификации или контроля целостности, бесплатны.

25. Однако в некоторых случаях поставка, передача из государства-члена Европейского сообщества или импорт средств криптологии, не обеспечивающих исключительно функции аутентификации или контроля целостности, подлежат предварительному заявлению премьер-министру.

26. Согласно французскому органу защиты данных CNIL9, криптология может иметь три применения:

Обеспечить конфиденциальность секретов;

Обеспечить подлинность сообщения; а также

Обеспечить целостность сообщения.

27. И для обеспечения такого использования шифрование выполняет четыре функции:

Хэш-функция с ключом;

Хэш-функция без ключа;

Цифровой подписи; а также

Шифрование.

28. С точки зрения конфиденциальности шифрование позволяет гарантировать, что только отправитель и законный получатель (и) сообщения знают его содержимое. После шифрования документ становится недоступным и нечитаемым без соответствующего ключа.

29. Кроме того, Французское агентство сетевой и информационной безопасности (ANSSI) опубликовало рекомендации, касающиеся криптологии, такие как Общие рамки безопасности (Référentiel Général de Sécurité или «RGS»), в том числе:

RGS B1 - Правила и рекомендации, касающиеся выбора и определения параметров криптографических механизмов, версия 2.03

RGS B2 - Правила и рекомендации, касающиеся управления ключами, используемыми в криптографических механизмах, версия 2.0;

RGS B3 - Правила и рекомендации, касающиеся механизмов аутентификации, версия 1.0.