Mesure de sécurité faisant partie des « exigences élémentaires », le chiffrement du disque dur d’un ordinateur portable n’en demeure pas moins insuffisant pour assurer la confidentialité des données traitées.
Dans une décision du 2 novembre 2022, la CNIL polonaise a ainsi sanctionné un responsable de traitement ayant omis, alors que sa politique le prévoyait et semblait majoritairement bien appliquée, de chiffrer le disque dur d’un terminal par la suite dérobé.
Comme l’a rappelé notre autorité de protection des données à Microsoft, le caractère non intentionnel d’un manquement aux obligations du responsable de traitement ne l’exonère pas de sa responsabilité.
Qu’aurait alors dû faire l’employeur pour écarter ce risque? Mettre en place une solution de supervision des postes de travail et tester régulièrement leur niveau de sécurité.