La qualité de la protection de ces données rentre dans le cadre général du contrôle interne et du risque opérationnel. Nous n'avons donc pas de prescription précise mais nous nous fondons sur certains principes directeurs. Nous demandons aux établissements de faire des cartographies des informations qu'ils ont à conserver et de les coter en leur donnant un degré de sensibilité devant entrainer des mesures de cryptage plus ou moins rigoureuses. Les contrôles informatiques ne sont pas sur la protection des données individuelles, mais sur la protection des données en général et nous vérifions que les données sont affectées à la bonne catégorie, avec un niveau de cryptage associé pertinent. Dans les outils que nous avons à notre disposition, nous faisons des rapports d'enquête et des recommandations. Si les règles ne sont pas appliquées, nous pouvons passer aux mises en demeure et aux sanctions.