1 Pour assurer une sécurité adéquate des données, le responsable du traitement et le sous-traitant établissent le besoin de protection des données personnelles et déterminent les mesures techniques et organisationnelles appropriées à prendre par rapport au risque encouru.
2 Le besoin de protection des données personnelles est évalué en fonction des critères suivants:
- le type de données traitées;
- la finalité, la nature, l’étendue et les circonstances du traitement.
3 Le risque pour la personnalité ou les droits fondamentaux de la personne concernée est évalué en fonction des critères suivants:
- les causes du risque;
- les principales menaces;
- les mesures prises ou prévues pour réduire le risque;
- la probabilité et la gravité d’une violation de la sécurité des données, malgré les mesures prises ou prévues.
4 Lors de la détermination des mesures techniques et organisationnelles, les critères suivants sont de plus pris en compte:
- l’état des connaissances;
- les coûts de mise en œuvre.
5 Le besoin de protection des données personnelles, le risque encouru, ainsi que les mesures techniques et organisationnelles sont réévalués pendant toute la durée du traitement. En cas de besoin, les mesures sont adaptées.