Article 32 du RGPD
Sécurité du traitement

Chapitre 4 - Responsable du traitement et sous-traitant
Sécurité du traitement

Ce que dit l'Article 32 du RGPD

1.  Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2.  Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3.  L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4.  Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

Que doit-on comprendre de l'Article 32 du RGPD ?

L’article 32 consacre l’un des principes les plus importants du système européen de protection des données personnelles : celui de la sécurité des traitements des données personnelles 🔐

💡 Pour rappel, un traitement est toute opération sur une donnée à caractère personnel : collecte, enregistrement, utilisation, transmission, destruction etc. Un traitement est tout ce qui peut possiblement être fait sur une donnée personnelle (article 4 RGPD).

Cet article s’inscrit plus largement dans une section entièrement dédiée à la “Sécurité des données à caractère personnel” se composant comme ainsi :

  • Article 32 RGPD - Sécurité du traitement.
  • Article 33 RGPD - Notification à l’autorité de contrôle d’une violation des données à caractère personnel.
  • Article 34 RGPD - Communication à la personne concernée d’une violation de données à caractère personnel.

Les articles 33 et 34 du RGPD prévoient qu’en cas d’une violation de données à caractère personnel, le responsable de traitement et le sous-traitant sont tenus de notifier l’incident (intentionnel ou non) à la CNIL dans les 72 heures et à la personne concernée dans “les meilleurs délais”.

💡 Pour rappel, une violation des données à caractère personnel correspond à une violation de leur sécurité entraînant, de manière intentionnelle (par exemple : piratage) ou non, la destruction, la perte, la divulgation ou l’accès non autorisé.

En prévention de toute violation des données personnelles, l’article 32 a justement pour objet de prévoir une obligation, pour le responsable de traitement et le sous-traitant, de mettre en place des mesures techniques et organisationnelles de protection des données tout au long du traitement. Voyons ensemble ces mesures.

💡 Pour rappel, le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle (article 4 RGPD). Le sous-traitant est la personne ou l’organisme (souvent un prestataire de service) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 4 RGPD).

1 - Contenu de l’obligation de sécurité

1.1 - Evaluer les risques 🤓

L’article 32 §2 RGPD prévoit qu’avant toute mise en oeuvre de mesures de sécurité, il convient d’évaluer le niveau de sécurité approprié pour prévenir toutes hypothèses où les données à caractère personnel seraient détruites, perdues, divulguées ou traitées d’une autre manière.

Rappelons que ce risque doit être analysé en fonction de l’atteinte qui serait portée aux droits et libertés des personnes concernées.

Prenons l’exemple d’une entreprise qui conserverait les copies de pièces d’identité de ses clients sur un fichier partagé dans un cloud accessible par un mot de passe tel que 123456 (mot de passe le plus courant). Dans cette hypothèse, la mesure de sécurité est très faible et le risque pour le droit des personnes est très haut (risque d’usurpation d’identité en cas de divulgation). Dans ce cas, le niveau de risque est haut et devra guider le choix de mesures adéquates.

1.2 - En fonction l’état des connaissances, des coûts et de la finalité du traitement

Le risque pour la protection des données personnelles doit être évalué (article 32 §2 RGPD) en fonction des moyens techniques, des moyens financiers et de la finalité du traitement (article 32 §1 RGPD).

Cela signifie que les mesures mises en oeuvre doivent être adaptées à ce qui est techniquement et financièrement acceptable pour protéger efficacement les données personnelles.

Précisons ici que les coûts engendrés par les mesure de sécurité ne doivent pas être mesurés en fonction des moyens financiers du responsable de traitement mais en fonction du risque pour la protection des données.

De plus, ces mesures doivent être adaptées à l’objectif pour lequel les données personnelles sont traitées, c'est-à-dire leurs finalités.

Par exemple, si les données personnelles sont utilisées pour un profilage, le risque est plus élevé au regard des conséquences sur les droits et libertés des personnes.

💡 Pour rappel, le profilage est un type de traitement de donnée personnelle automatisé, c’est-à-dire effectué par un algorithme, pour évaluer certains aspects personnels relatifs à une personne en vue de prédire un comportement.

1.3 - Mesures techniques et organisationnelles proposées

L’article 32 du RGPD propose une liste non exhaustives de mesures de sécurité qui peuvent être envisagées. Ces mesures se composent de mesures techniques et organisationnelles.

Les mesures techniques :

a) la pseudonymisation et le chiffrement des données à caractère personnel.

  • La pseudonymisation est l’action par laquelle un responsable de traitement relie des données personnelles non plus à l’identité de la personne concernée mais un pseudo ne permettant pas de l’identifier (article 4 RGPD). ⚠️ À la différence de l’anonymisation, la pseudonymisation permet toujours de retrouver la personne à qui appartiennent ces données par le recoupement d’informations supplémentaires.
  • Le chiffrement des données est un dispositif empêchant la lecture des données par des tiers sauf à disposer de moyens techniques extrêmement conséquents.

Par exemple, dans une affaire récente, Doctolib a été poursuivi concernant l’hébergement de ses données sur les serveurs de la filiale d’Amazon AWS. Bien que les serveurs étaient localisés en France, la loi américaine n’assure pas une protection suffisante au regard du RGPD notamment depuis la remise en question Privacy Schield. Néanmoins, le Conseil d’Etat a considéré que le risque était nettement réduit par la mise en place d’un dispositif de chiffrement des données par Doctolib.

→ Pour plus d’information à ce sujet, nous avons rédigé un article ici.

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

Les techniques de pseudonymisation et de chiffrement sont deux mesures techniques permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes.

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique.

Il s’agit de mesures protégeant les données de toute destruction ou altération en cas de dangers physiques tels que des incendies ou inondations. Le responsable de traitement est tenu de mettre en place des systèmes de sauvegarde garantissant la disponibilité et la résilience des données personnelles.

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

L’ensemble des mesures de sécurité mises en place doivent être testées régulièrement afin de vérifier leur bon fonctionnement.

Les mesures organisationnelles.

Les mesures organisationnelles sont liées au facteur humain. A ce titre, l’article 32 §4 RGPD précise que le responsable de traitement comme le sous-traitant doivent s’assurer que les personnes physiques qui travaillent sous leur autorité ne traitent les données personnelles que sur leurs instructions ou par ce qu’elles y sont obligés en vertu de la loi.

Cette disposition signifie que les employés, prestataires ou partenaires ne doivent avoir accès aux données personnelles pour les traiter que sur instructions, c'est-à-dire que dans le cadre précis de leurs missions, ou en vertu de la loi (par exemple, la loi oblige de tenir une comptabilité qui elle-même contient des données personnelles liées par exemple à l’adresse de facturation).

Il convient de rapprocher un autre article qui prévoit que le sous-traitant est tenu de veiller à ce que ses employés soient soumis à une obligation de confidentialité (article 28 RGPD).

2 - Obligation de sécurité et principe d’accountability

💡Pour rappel, le principe d’accountability (article 24 RGPD) désigne l’obligation pour les responsables de traitement de mettre en œuvre des mécanismes permettant de démontrer sa conformité au RGPD.

Appliqué à l’obligation de sécurité, cela signifie que le responsable de traitement et le sous-traitant doivent faire preuve de transparence à l’égard des personnes concernées et des autorités.

Ainsi comme déjà évoqué, en cas de violation des données personnelles, le responsable de traitement et le sous-traitant doivent informer la CNIL et les personnes concernées (article 33 RGPD et article 34 RGPD).

Ils doivent également rédiger un document écrit, accessible, précisant toutes les mesures techniques et organisationnelles de protection des données mises en oeuvre conformément à l’article 32 RGPD. Ce document peut prendre la forme d’une politique de confidentialité (ou Privacy Policy).

Vous avez des difficultés à évaluer les risques et mettre en place les mesures de sécurité adaptées ? Notre solution et nos équipes vous accompagnent dans l’identification des risques et la construction d’une feuille de route  💁🏻‍♀️.

Des exemples de sanctions dans le cadre de l'Article 32 du RGPD

27800000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Tim (opérateur De Télécommunications)
22046000
Commissaire à l'information (ICO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
British Airways
20450000
Commissaire à l'information (ICO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Marriott International, Inc
12251601
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Vodafone Italia Spa
4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
2900000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Capio St. Göran Ab
2600000
Commission de protection des données de Bulgarie (KZLD)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Agence Nationale Du Revenu
2500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Deliveroo Italie Srl
2250000
Autorité française de protection des données (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Carrefour France
1463000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Aleris Sjukvård Ab
1405000
Commissaire à l'information (ICO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Ticketmaster Uk Limited
1240000
Autorité de protection des données du Bade-Wurtemberg
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Allgemeine Ortskrankenkasse (`` Aok '') (compagnie D'assurance Maladie)
1168000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Aleris Sjukvård Ab
1000000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Fortum Marketing Et Vente Polska Sa
900000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Uwv (prestataire Néerlandais De Services D'assurance Des Employés)
900000
Le Commissaire fédéral à la protection des données et à la liberté de l'information (BfDI)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Fournisseur De Télécommunications (1 & 1 Telecom Gmbh)
800000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Rome Capitale
660000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Morele.net
600000
Autorité espagnole de protection des données (aepd)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Air Europa Lineas Aereas, Sa.
585000
Commissaire à l'information (ICO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Bureau Du Cabinet
511000
Commission de protection des données de Bulgarie (KZLD)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Banque Dsk
500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Roma Capitale (municipalité De Rome)
500000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Brico Privé
496000
Autorité de surveillance norvégienne (Datatilsynet)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Ferde As
460000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Hôpital De Haga
450000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Uwv (fournisseur Néerlandais De Services D'assurance Des Employés)
440000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Olvg
440000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Olvg
412000
Autorité de surveillance norvégienne (Datatilsynet)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Commune D'østre Toten
400000
Autorité française de protection des données (CNIL)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Sergic (immobilier)

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?