Article 25 du RGPD
Protection des données dès la conception et protection des données par défaut

Chapitre 4 - Responsable du traitement et sous-traitant
AccueilArticles RGPD > 
Protection des données dès la conception et protection des données par défaut
Contenu de l'article2 - Notre analyseExemple de sanctions

Ce que dit l'Article 25 du RGPD

1.  Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2.  Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.

3.  Un mécanisme de certification approuvé en vertu de l'article 42 peut servir d'élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Que doit-on comprendre de l'Article 25 du RGPD ?

Des exemples de sanctions dans le cadre de l'Article 25 du RGPD

345000000
Autorité irlandaise de protection des données
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Tiktok Limitée
265000000
Autorité irlandaise de protection des données
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Meta Platforms Ireland Limited
79100000
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Enel Energia Spa
79100000
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Enel Energia Spa
16700000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Wind Tre Spa
12251601
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Vodafone Italia Spa
5000000
Autorité espagnole de protection des données (aepd)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Caixabank, S.a.
4900000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Edison Energia Spa
4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
2520000
Autorité espagnole de protection des données (aepd)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Mercadona Sa
2500000
Autorité espagnole de protection des données (aepd)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Banque Ouverte, Sa
2500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Deliveroo Italie Srl
1700000
Autorité de surveillance norvégienne (Datatilsynet)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Administration Norvégienne Du Travail Et De La Protection Sociale
1500000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Edp Energía, Sau
1500000
Autorité espagnole de protection des données (aepd)
Contexte :
Respect insuffisant des obligations d'information
En cause :
Edp Comercializadora, Sau
1000000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Fortum Marketing Et Vente Polska Sa
856000
Médiateur adjoint pour la protection des données
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Verkkokauppa.com
856000
Médiateur adjoint pour la protection des données
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Verkkokauppa.com
800000
Autorité espagnole de protection des données (aepd)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Banco Bilbao Vizcaya Argentaria, Sa
800000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Discord Inc.
800000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Rome Capitale
800000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Iliad Italia Spa
676956
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Thermes De Sorgenia
300000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Exécution insuffisante des droits des personnes concernées
En cause :
Mobile Gratuit
285000
Autorité croate de protection des données (azop)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Entreprise De Télécommunications
237800
Autorité italienne de protection des données (Garante)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Réseau Vert Spa
210000
Autorité hellénique de protection des données (HDPA)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Banque Du Pirée
175000
Autorité hellénique de protection des données (HDPA)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Ministère Grec De L'immigration Et De L'asile
175000
Autorité hellénique de protection des données (HDPA)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Ministère Grec De L'immigration Et De L'asile
174640
Autorité belge de protection des données (APD)
Contexte :
Exécution insuffisante des obligations d'information
En cause :
Tigre Noir Belgique
Les autres articles du chapitre :
Article 24 RGPD - Responsabilité du responsable du traitement
Article 26 RGPD - Responsables conjoints du traitement
Article 27 RGPD - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union
Article 28 RGPD - Sous-traitant
Article 29 RGPD - Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
Article 30 RGPD - Registre des activités de traitement
Article 31 RGPD - Coopération avec l'autorité de contrôle
Article 32 RGPD - Sécurité du traitement
Article 33 RGPD - Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Article 34 RGPD - Communication à la personne concernée d'une violation de données à caractère personnel
Article 35 RGPD - Analyse d'impact relative à la protection des données
Article 36 RGPD - Consultation préalable
Article 37 RGPD - Désignation du délégué à la protection des données
Article 38 RGPD - Fonction du délégué à la protection des données
Article 39 RGPD - Missions du délégué à la protection des données
Article 40 RGPD - Codes de conduite
Article 41 RGPD - Suivi des codes de conduite approuvés
Article 42 RGPD - Certification
Article 43 RGPD - Organismes de certification
👈 Revenir à l'ensemble des articles du RGPD

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Produits
Logiciel RGPDSensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataApplication mobile veille RGPD
Leto
Nous rejoindreContactA proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2025