📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 32 du RGPD : Sécurité du traitement

Sommaire

Comprendre l’article 32

L’article 32 du RGPD introduit le principe fondamental de sécurité des données personnelles. Il impose aux responsables de traitement et aux sous-traitants de mettre en œuvre des mesures appropriées pour garantir la sécurité des traitements, tant sur le plan technique qu’organisationnel.

Ces mesures doivent être proportionnées au niveau de risque que présente chaque traitement : plus le risque est élevé pour les droits et libertés des personnes, plus les mesures doivent être robustes.

L’article cite notamment quatre types de mesures :

  1. La pseudonymisation et le chiffrement des données personnelles : rendre les données illisibles ou inexploitables sans clé d’accès permet de limiter les conséquences d’une fuite de données.
  2. Des dispositifs assurant la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement : cela peut inclure une protection physique (contrôle d’accès aux locaux), logique (mots de passe robustes, chiffrement, antivirus, etc.) ou organisationnelle (formation des collaborateurs, politiques internes de sécurité).
  3. Des moyens permettant de rétablir l’accès aux données en cas d’incident dans un délai raisonnable : par exemple, des sauvegardes régulières, conservées sur des sites distincts, accompagnées d’un plan de reprise d’activité.
  4. Une procédure régulière de test, d’évaluation et d’audit des mesures de sécurité : les tests d’intrusion ou audits techniques permettent d’identifier et de corriger les failles éventuelles.

Toutes ces mesures doivent être adaptées à la nature des traitements, aux risques identifiés et au contexte spécifique de l’organisme.

L’article rappelle également un principe essentiel : seules les personnes dûment habilitées – par le responsable de traitement ou par le sous-traitant – doivent avoir accès aux données personnelles.

Enfin, l’organisme peut démontrer la mise en œuvre de ces mesures via un code de conduite ou d’autres éléments de preuve.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous

Article 32 du RGPD

  1. « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: a) la pseudonymisation et le chiffrement des données à caractère personnel;b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
  2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
  3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
  4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.»

Vous voulez avancer sur le RGPD sans perdre de temps ? Faites-vous accompagner par un DPO externe.

Jurisprudence

La sécurité des traitements reste l’un des points les plus sensibles du RGPD. De nombreuses décisions de la CNIL s’appuient sur l’article 32 pour sanctionner les manquements en la matière. Voici quelques exemples emblématiques :

Sanction : 1 500 000 € d’amende pour Dedalus Biologie

La société Dedalus Biologie, spécialisée dans les logiciels de laboratoire, a été sanctionnée à la suite d’une fuite de données sensibles concernant environ 500 000 patients. L’enquête a révélé plusieurs défaillances majeures en matière de sécurité :
  • Absence de procédure encadrant la migration des données, avec notamment des transferts non chiffrés.
  • Non-effacement des données après traitement.
  • Absence de mise en conformité malgré un signalement préalable de l’ANSSI.
  • Utilisation de comptes partagés entre salariés.
  • Manque de procédure d’alerte en cas d’incident.
La CNIL a estimé que ces manquements avaient directement facilité l’intrusion dans les serveurs de l’entreprise. Délibération SAN-2022-009 du 15 avril 2022 – Légifrance

Sanction : 600 000 € d’amende pour Accor

Le groupe hôtelier Accor a été sanctionné pour plusieurs manquements, notamment en matière de sécurité. La CNIL a relevé l’utilisation de mots de passe insuffisamment complexes et le manque de sécurisation lors de la transmission de données personnelles non chiffrées, notamment dans le cadre des vérifications d’identité par e-mail. Délibération SAN-2022-017 du 3 août 2022 – CNIL

Sanction : 400 000 € d’amende pour la RATP

À la suite de plaintes déposées par des agents, la CNIL a effectué un contrôle auprès de la RATP. Ce contrôle a révélé plusieurs lacunes, dont l’absence d’une politique claire de gestion des habilitations et un défaut de suivi des accès via des journaux de connexion. Délibération SAN-2021-019 du 29 octobre 2021 – Légifrance

Sanction : 500 000 € d’amende pour Brico Privé

La CNIL a sanctionné l’entreprise Brico Privé pour plusieurs défaillances : exigence insuffisante en matière de mots de passe, conservation de ces mots de passe en clair, système de hachage obsolète, et recours à des comptes partagés entre salariés au lieu d’identifiants individualisés. Délibération SAN-2021-008 du 14 juin 2021 – Légifrance
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.