Intervention de Nicole Belloubet

Le Gouvernement émet un avis défavorable.

Obliger les responsables de traitement et les sous-traitants à chiffrer les données de bout en bout chaque fois que cela est possible apparaît excessif au regard du RGPD.

Cette obligation peut également se révéler non pertinente pour certains traitements. En effet, le chiffrement ne constitue que l’une des mesures pour atténuer les risques inhérents au traitement afin de garantir la sécurité. L’article 32 du règlement prévoit ainsi que, « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, […], le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques, y compris entre autres, selon les besoins ». Parmi celles-ci figurent notamment la pseudonymisation et le chiffrement des données à caractère personnel.

Il s’agit donc d’une mesure de sécurité parmi d’autres, qui ne saurait être imposée systématiquement au responsable de traitement. Il appartient à ce dernier, au regard du principe de responsabilisation, et sous le contrôle de la CNIL, d’apprécier laquelle de ces mesures est la plus appropriée à son traitement et au risque potentiel qu’il présente.