Encadrer la maintenance et la destruction des données Gérer la sous-traitance Sécuriser les échanges avec d'autres organismes Protéger les locaux Encadrer les développements informatiques Les opérations de maintenance comme les changements de serveur doivent être réalisés dans des environnements sûrs. Les matériels destinés à la destruction doivent faire l'objet d'un process permettant de supprimer toutes les données personnelles qu'ils comportent. V. Fiche 12 sur la sous-traitance Les données doivent être échangées d'une manière permettant d'éviter qu'un tiers ne puisse en prendre connaissance (via serveur FTP ou email chiffré). Les locaux doivent être protégés via des dispositifs de contrôle d'accès. Les développements informatiques doivent être réalisés à l'aide de bases de données de test, fictives. Chiffrer, garantir l'intégrité ou signer Les algorithmes de chiffrement doivent être robustes et à jour. Par ailleurs, il ne faut pas confondre chiffrement et anonymisation qui correspondent à deux opérations différentes, l'une visant à sécuriser des données (personnelles ou non), l'autre à rendre non personnelles des données qui initialement l'étaient. À la lecture de ces éléments, on constate que des mesures de sécurité doivent être déployées tout au long du cycle de vie de la donnée. La loi n°2022-309 du 3 mars 2022 a en outre introduit dans le Code de la consommation un article L. 111-7-3 imposant à certaines plateformes numériques en ligne de procéder à un audit de sécurité dont les résultats doivent être présentés au consommateur sous la forme d'un cyber-score. Cet audit doit notamment porter sur « la sécurisation et la localisation des données qu'[elles] hébergent, directement ou par l'intermédiaire d'un tiers, et sur leur propre sécurisation ». RGPD : la protection des données à caractère personnel