Les organisations ont l’obligation de mettre en place des mesures techniques et organisationnelles de sécurité, à savoir :

– Des moyens permettant de garantir la confidentialité, la disponibilité, l’intégrité et la résilience des systèmes et des services de traitement,

– Des moyens permettant de rétablir la disponibilité des données,

– Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures de sécurité.

Ensuite, ces mesures doivent être appropriées qu’elles doivent garantir un niveau de sécurité adapté aux risques sur les données personnelles.

Enfin, en cas de violations de données personnelles, les organisations doivent notifier l’autorité compétente dans les 72 h ; cette notification porte notamment sur une description des catégories et du nombre approximatif de personnes et de données personnelles concernées, sur les conséquences probables et les mesures prises pour remédier à la violation de données.