Le traitement informatique constitue une risque, et la loi, au travers de l`article 29, tend à assurer la sécurité en donnant à celle-ci la forme d`une obligation qui est à la charge du responsable du traitement (ceci entendu de manière extensive: Toute personne ordonnant ou effectuant un traitement...).

Une des premières condition est le respect de la finalité du traitement. Cette notion n`est pas expressément exprimée dans la loi de 1978, mais est diffuse et sous-jacente derrière chaque article. En l`espèce, toute personne ayant à sa charge un traitement d`informations nominatives ne doit pas utiliser ces dernières dans une autre finalité que celle pour laquelle elles ont été recueillies. A titre d`exemple, le fait que les informations soient déformées, endommagées ou communiqués à des tiers non autorisés engage la responsabilité civile de celui qui à procédé ou fait procéder au traitement. Comme nous l`avons vu dans le paragraphe précédent, cette responsabilité peut aussi s`étendre au responsable du serveur ou au producteur de bases de données. En fait, cette responsabilité concerne toute personne juridique qui est appelée à assurer à un titre ou à un autre la conservation d`informations nominatives.

S`agissant de la responsabilité civile, il n`y a pas lieu à se demander si une personne morale peut être concernée: elle l`est indiscutablement.

Cette obligation de sécurité ne met pas à la charge de la personne responsable du traitement de s`engager contractuellement au respect de la sécurité: il s`agit bien d`une obligation légale qui s`impose de facto.