📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 32 du RGPD : Sécurité du traitement

Sommaire

Introduction 

La protection des données personnelles est une préoccupation majeure dans le cadre de la réglementation européenne. L’article 32 du Règlement Général sur la Protection des Données (RGPD) établit les exigences en matière de sécurité des données pour garantir la confidentialité, l’intégrité et la disponibilité des informations personnelles. Dans cette page, nous explorerons en détail cet article crucial pour la protection des données.

Explication de l’article 

L’article 32 du RGPD énonce les normes de sécurité que les entreprises doivent respecter pour protéger les données personnelles de leurs collaborateurs, clients, prospects, partenaires, etc. En termes simples, cela signifie que toute entreprise qui traite des informations personnelles de personnes physiques doit mettre en place des mesures de sécurité adéquates pour éviter tout accès non autorisé ou toute fuite de données.

Pour ce faire, l’article énumère plusieurs mesures aussi bien techniques qu’organisationelles :

  • La pseudonymisation et le chiffrement des données sont nécessaires pour rendre les données incompréhensibles pour toute personne non autorisée, sauf si elle possède la clé de déchiffrement appropriée.
  • Les entreprises doivent mettre en place des contrôles d’accès stricts pour s’assurer que seules les personnes autorisées peuvent accéder aux données sensibles, par exemple en utilisant des mots de passe complexes.
  • Des mesures de sécurité supplémentaires doivent être prévues pour garantir la disponibilité et l’intégrité des données, même en cas d’incidents tels que des pannes informatiques ou des attaques de pirates informatiques.
  • Enfin, les entreprises sont tenues de procéder régulièrement à des tests de sécurité pour évaluer l’efficacité de leurs mesures de protection des données.

L’objectif de ces exigences est de garantir la confidentialité et la sécurité des données personnelles des individus, en veillant à ce qu’elles ne tombent pas entre de mauvaises mains et qu’elles soient traitées de manière responsable par les entreprises.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD :

« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.»

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 4

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

« Les données à caractère personnel doivent être :

(…)

6° Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, ou l’accès par des personnes non autorisées, à l’aide de mesures techniques ou organisationnelles appropriées.

Article 57

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

En application de l’article 24 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à ce même règlement et à la présente loi. (…)»

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

(Article correspondant dans la directive 95/46)

« 1. Les États membres prévoient que le responsable du traitement doit mettre en oeuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

2.Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.

3.La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que:

– le sous-traitant n’agit que sur la seule instruction du responsable du traitement,

– les obligations visées au paragraphe 1, telles que définies par la législation de l’État membre dans lequel le sous-traitant est établi, incombent également à celui-ci.

4.Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente.»

Analyse des 3 textes qui précèdent

Les trois textes abordent la question de la sécurité des données à caractère personnel, en mettant l’accent sur les mesures techniques et organisationnelles à mettre en place pour protéger ces données. Le RGPD (Règlement Général sur la Protection des Données) a introduit des changements significatifs par rapport à la directive 95/46 et à l’équivalent dans la Loi Informatique et Libertés.

Le RGPD a clarifié et renforcé les exigences en matière de sécurité des données, en spécifiant des mesures techniques et organisationnelles appropriées à mettre en œuvre pour garantir un niveau de sécurité adapté au risque. Il a également introduit la notion de pseudonymisation et de chiffrement des données à caractère personnel comme des mesures recommandées. De plus, le RGPD a insisté sur la nécessité de tester, d’analyser et d’évaluer régulièrement l’efficacité de ces mesures de sécurité.

Comparativement, la Loi Informatique et Libertés semble adopter une approche similaire en matière de sécurité des données, mais elle est moins détaillée que le RGPD. Elle exige également que les données soient traitées de manière à garantir une sécurité appropriée, mais n’aborde pas spécifiquement des mesures comme la pseudonymisation ou le chiffrement des données.

La directive 95/46 CE, quant à elle, énonce des principes généraux de protection des données similaires, mais elle est moins explicite en ce qui concerne les mesures techniques et organisationnelles à mettre en place. Elle laisse plus de latitude aux États membres pour définir les mesures de sécurité, tandis que le RGPD harmonise davantage ces exigences à l’échelle de l’Union européenne.

Ainsi, le RGPD a corrigé les lacunes et ambiguïtés des textes précédents en fournissant des directives plus précises et plus contraignantes en matière de sécurité des données à caractère personnel.

Jurisprudences 

Françaises 

Sanction de 1 500 000 euros d’amende (Délibération SAN-2022-009 du 15 avril 2022 – Légifrance)

La société de logiciels de laboratoire Dedalus Biologie fait état d’une fuite de données dites sensibles concernant 500 000 patients. Après contrôle, la formation restreinte de la CNIL constate plusieurs manquements concernant la sécurité du traitement. En effet, il était reproché à la société : 

  • de ne pas avoir mis en place une procédure de migration des données, alors même qu’il s’agissait de données sensibles, qui traduisait notamment l’envoi de ces données sans chiffrement
  • le non effacement des données
  • l’absence de mise en conformité malgré l’avertissement de l’ANSSI
  • l’utilisation de comptes partagés entre salariés 
  • l’absence de procédure d’alerte

La CNIL établit que ces manquements de sécurité sont à l’origine de l’intrusion sur les serveurs de la société. 

Sanction de 600 000 euros d’amende (Délibération de la formation restreinte n°SAN-2022-017 du 3 août 2022 concernant la société ACCOR SA) 

Le groupe hôtelier français est condamné par la CNIL. Plusieurs manquements sont reprochés. Concernant la sécurité du traitement, la formation restreinte relève l’absence de complexité et de robustesse des mots de passe. La formation restreinte déplore également l’absence de mesures sécurisées concernant la transmission de données non chiffrées par courriel, lors des demandes de vérification d’identité. 

Sanction de 400 000 euros d’amende (Délibération SAN-2021-019 du 29 octobre 2021 – Légifrance )

À la suite de plusieurs plaintes de la part d’agents de la RATP, la CNIL décide d’effectuer un contrôle auprès de la société de transports. Ce contrôle révèle plusieurs manquements liés notamment à l’absence d’une politique de gestion des habilitations (journaux de connexions).  

Sanction de 500 000 euros d’amende (Délibération SAN-2021-008 du 14 juin 2021 – Légifrance)

À la suite d’un contrôle, la CNIL relève plusieurs manquements. Il est reproché à la société Brico Privé l’absence d’exigence de mots de passe complexes, et la conservation de ces mots de passe dans un fichier clair. La formation restreinte relève l’obsolescence du système de hachage. Enfin, la CNIL constate que les salariés de la société utilisaient des comptes partagés au lieu d’identifiants uniques. 

Européennes 

CJUE, Arrêt de la Cour, VB contre Natsionalna agentsia za prihodite., 14/12/2023, C-340/21

Cour constitutionnelle, arrêt n° 2020-118 du 24 septembre 2020 – Strada lex 

https://www.gegevensbeschermingsautoriteit.be/publications/arrest-van-27-januari-2021-van-het-marktenhof-ar-1333-beschibaar-in-het-frans.pdf 

Recommandations

La CNIL et le CEPD ont émis des recommandations concernant la mise en œuvre des mesures de sécurité prévues par l’article 32. Il est recommandé aux entreprises de consulter ces directives pour assurer une conformité optimale.

CNIL 

Recommandation relative aux mots de passe (19 janvier 2017) : Cette recommandation énonce des directives concernant la création et la gestion des mots de passe, visant à renforcer la sécurité des données personnelles. 

Guide: La sécurité des données personnelles (2018) : Ce guide met en lumière l’importance de la gestion des risques dans la protection des données personnelles. Il souligne la nécessité de prendre des mesures appropriées en fonction des risques identifiés, conformément aux dispositions de la loi Informatique et Libertés et du RGPD. https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf 

Recommandation relative à la journalisation (14 octobre 2021) : Cette recommandation concerne la conservation et l’utilisation des journaux d’accès aux systèmes d’information, conformément aux exigences de sécurité du RGPD. Elle propose des directives pour équilibrer la sécurité des données avec la protection de la vie privée des utilisateurs. https://www.cnil.fr/sites/cnil/files/atoms/files/recommandation_-_journalisation.pdf 

Fiche pratique: les outils informatiques au travail (2018) : Cette fiche aborde l’utilisation des outils informatiques dans le cadre professionnel, soulignant la responsabilité de l’employeur dans la définition des règles d’utilisation et la préservation de la sécurité des réseaux.

Fiche pratique: L’accès aux locaux et le contrôle des horaires (2018) : Cette fiche met en avant les enjeux liés au contrôle d’accès aux locaux professionnels et au suivi des horaires de travail, soulignant la nécessité de trouver un équilibre entre la surveillance et le respect des droits individuels.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.