Article 32 du RGPD : Sécurité du traitement

Sommaire :

Comprendre l’article 32

Cet article introduit le principe de sécurité, et est fondamental en matière de protection des données. 

Cet article détaille et liste les mesures techniques et organisationnelles pouvant être mises en place par l’organisme afin de garantir la sécurité des données et de leur utilisation. Les mesures mises en place doivent être adaptées en fonction du risque créé par le traitement opéré (c’est-à-dire l’utilisation des données réalisée).

4 mesures sont énoncées : 

  • la pseudonymisation et le chiffrement des données à caractère personnel : c’est-à-dire rendre illisibles/inutilisables les données via une clé de chiffrement participe à la sécurisation du traitement.

  • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des traitements : l’organisme doit mettre en place des mesures logiques, physiques ou organisationnelles. Ces mesures peuvent constituer en une protection physique (accès aux bureaux via des badges), une protection organisationnelle (la sensibilisation des collaborateurs) et une protection logique (mots de passe, sécurisation des postes de travail…). Ce ne sont que de brefs exemples de ce qui peut et de ce qui doit être mis en place pour être considéré comme sécurisé, au sens de l’article 32. 

  • des moyens permettant de rétablir la disponibilité des données en cas d’incident dans un délai approprié : cette mesure implique des sauvegardes régulières et effectives des données traitées, dans l’idéal sur un site extérieur, et la création d’un plan de reprise et de continuité de l’activité.

  • une procédure de contrôle, d’analyse, de test devant être faite régulièrement pour assurer la sécurité du traitement.  On pense notamment aux tests d’intrusion, qui peuvent être réalisés afin d’identifier des failles de sécurité existantes.

Les mesures doivent être appliquées en fonction des risques créés par le traitement 

L’application de ces mesures peut être démontrée via un code de conduite. 

L’article rappelle également que la sécurité implique que seules les personnes instruites par le responsable de traitement (la personne ou l’organisme décisionnaire du traitement et de sa réalisation) ou le sous-traitant doivent être amenées à traiter des données. 

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ? 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Cliquez ici
Je chercher un DPO

Article 32 du RGPD

  1. « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

    a) la pseudonymisation et le chiffrement des données à caractère personnel;

    b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

    c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

    d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

  2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
  3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

  4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.»

Jurisprudence

Plusieurs décisions de jurisprudence sur cet article. En effet, la sécurité du traitement est souvent négligée par les entreprises, et la CNIL semble vouloir mettre fin à cette négligence. 

Sanction : 1 500 000€ d’amende pour Dedalus Biologie

La société de logiciels de laboratoire Dedalus Biologie fait état d’une fuite de données dites sensibles concernant 500 000 patients. Après contrôle; la formation restreinte de la CNIL constate plusieurs manquements concernant la sécurité du traitement. En effet, il était reproché à la société : 

  • de ne pas avoir mis en place une procédure de migration des données, alors même qu’il s’agissait de données sensibles, qui traduisait notamment l’envoi de ces données sans chiffrement
  • le non effacement des données
  • l’absence de mise en conformité malgré l’avertissement de l’ANSSI
  • l’utilisation de comptes partagés entre salariés 
  • l’absence de procédure d’alerte

La CNIL établit que ces manquements de sécurité sont à l’origine de l’intrusion sur les serveurs de la société. Délibération SAN-2022-009 du 15 avril 2022 – Légifrance

Sanction : 600 000€ d’amende pour Accor

Le groupe hôtelier français est condamné par la CNIL. Plusieurs manquements sont reprochés. Concernant la sécurité du traitement, la formation restreinte relève l’absence de complexité et de robustesse des mots de passe. La formation restreinte déplore également l’absence de mesures sécurisées concernant la transmission de données non chiffrées par courriel, lors des demandes de vérification d’identité. Délibération de la formation restreinte n°SAN-2022-017 du 3 août 2022 concernant la société ACCOR SA 

Sanction : 400 000€ d’amende pour la RATP 

À la suite de plusieurs plaintes de la part d’agents de la RATP, la CNIL décide d’effectuer un contrôle auprès de la société de transports. Ce contrôle révèle plusieurs manquements liés notamment à l’absence d’une politique de gestion des habilitations (journaux de connexions.  Délibération SAN-2021-019 du 29 octobre 2021 – Légifrance 

Sanction : 500 000€ d’amende pour Brico Privé 

À la suite d’un contrôle, la CNIL relève plusieurs manquements. Il est reproché à la société Brico Privé l’absence d’exigence de mots de passe complexes, et la conservation de ces mots de passe dans un fichier clair. La formation restreinte relève l’obsolescence du système de hachage. Enfin, la CNIL constate que les salariés de la société utilisaient des comptes partagés au lieu d’identifiants uniques. Délibération SAN-2021-008 du 14 juin 2021 – Légifrance

 

Trouvez un Data Protection Officer
Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €

> Voir toutes les questions / réponses sur le divorce