RGPD Article 32 Sécurité du traitement

L’article 32 du RGPD précise les obligations du responsable du traitement et du sous-traitant quant à la sécurité de ce traitement.

Il s’agit pour le responsable du traitement et le sous-traitant non pas d’éliminer tout risque de violation de données à caractère personnel mais d’évaluer le risque d’une telle violation et d’en tirer les conséquences quant au niveau de sécurité à mettre en œuvre.

Mettre en œuvre les mesures techniques et organisationnelles appropriées

Le paragraphe 1 de l’article 32 dispose que ces derniers doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques

« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (…)

RGPD – Article 32§1

Les mesures mises en œuvre seront donc évaluées en fonction :

• De l’état des connaissances
• Des coûts de mise en œuvre
• De la nature du traitement
• De la portée du traitement
• Du contexte du traitement
• Des finalités du traitement

En cas de contrôle et/ou de sanction, l’autorité de contrôle va donc examiner les différentes mesures mises en œuvre au regard de ces critères :

«(…) l’article 32 du RGPD doit être interprété en ce sens que le caractère approprié des mesures techniques et organisationnelles mises en œuvre par le responsable du traitement au titre de cet article doit être apprécié par les juridictions nationales de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques ».

CJUE 14 décembre 2023, C/2024/1065

Par exemple la CNIL a considéré l’absence de certaines mesures de sécurité comme un manquement à l’article 32 du RGPD (Délibération SAN-2026-001):

• Absence de sécurisation du canal d’interconnexion
  • ANSSI, Recommandations sur le nomadisme numérique, 2018
  • CNIL, Guide de la sécurité des données personnelles, 2024

• Absence de détection des comportements anormaux
  • CNIL, Recommandation relative à la journalisation, 2021

• Absence de robustesse liée au stockage des mots de passe des utilisateurs de l’outil MOBO
  • ANSSI, Bulletin d’actualité CERTA-2013-ACT-046
  • ANSSI, Recommandations relatives à l’authentification multi facteur et aux mots de passe
  • CNIL, Guide RGPD du développeur, 2020
  • CNIL, Recommandations sur les mots de passe 2017 et 2022

DES MESURES DE SÉCURITÉ APPROPRIÉES

Le paragraphe 2 de l’article 32 précise comment doit s’apprécier le caractère approprié des mesures mises en œuvre : de manière concrète, en fonction du degré de probabilité des risques identifiés et leur degré de gravité.

« Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

RGPD – Article 32§2

DES INSTRUMENTS DE CONFORMITÉ

Le paragraphe 3 de l’article 32, comme l’article 24§3, rappelle que le responsable du traitement et le sous-traitant peuvent démontrer le respect des exigences de cet article en s’appuyant sur un code de conduite ou un mécanisme de certification approuvé.

« L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

RGPD – Article 32§3

FAQ sur l’obligation de sécurité au titre de l’article 32 du RGPD

• Quelles sont les obligations au titre de l’article 32 du RGPD ?

 Le responsable du traitement et le sous-traitant doivent :

• Évaluer les risques
• Atténuer les risques par la mise en œuvre de mesures techniques et organisationnelles appropriées
• Être en mesure de démontrer la conformité des traitements mis en œuvre, y compris l’efficacité des mesures

• L’obligation de sécurité est-elle une obligation de moyens ou de résultat ?

Il s’agit d’une obligation de moyens.

« L’obligation de sécurité prévue par l’article 32 du RGPD est effectivement une obligation de moyens, qui impose au responsable du traitement de prendre des mesures qui, au regard des caractéristiques du traitement en cause, permettent à la fois de réduire la probabilité de la survenance d’une violation de données et le cas échéant, d’en atténuer la gravité. Il n’est donc pas attendu que les mesures de sécurité permettent d’éliminer toute forme de risque »

CNIL – Délibération SAN-2026-001

 Rappelé par la CJUE, 14 décembre 2023, C/2024/1065. 

• Une violation de donnée est-elle toujours un manquement à l’article 32 du RGPD ?

Non une violation de données n’est pas toujours un manquement à l’obligation de sécurité de l’article 32 du RGPD.

Il ne s’agit pas d’une présomption irréfragable : le responsable du traitement et le sous-traitant doit être en mesure de démontrer la conformité des mesures mises en œuvre conformément au RGPD.

« (…) la simple survenance d’une violation de données ne caractérise pas à elle seule un manquement à l’article 32 du RGPD »

CNIL – Délibération SAN-2026-001

« (…) une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, de ce règlement, ne suffisent pas, à eux seuls, pour considérer que les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n’étaient pas « appropriées », au sens de ces articles 24 et 32 »

CJUE 14 décembre 2023, C/2024/1065

• Est-ce que la CNIL a déjà sanctionné des entreprises pour défaut de sécurité ?

 Oui, la CNIL a déjà sanctionné l’absence ou l’insuffisance des mesures de sécurité mises en place en tant que manquement à l’article 32 du RGPD :

• Délibération SAN-2026-001
• Délibération n° SAN-2021-020 du 28 décembre 2021 ;
• Délibération n° SAN-2020-014 du 7 décembre 2020 ;
• Délibération n° SAN– 2019-005 du 28 mai 2019;
• Délibération n° SAN-2018-011 du 19 décembre 2018.

• Quelles sont les causes d’exonération de responsabilité dans le cadre de l’article 32 ?

Le responsable du traitement et le sous-traitant peut être exonéré de sa responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable (article 82 du RGPD).

• Est-ce qu’une expertise judiciaire constitue un moyen de preuve nécessaire et suffisant pour apprécier le caractère approprié des mesures de sécurité ?

Non car cela pourrait porter atteinte au principe d’effectivité. Une juridiction nationale n’est pas tenue par le rapport d’expertise, elle doit procéder à une appréciation objective du caractère approprié des mesures concernées et pas de limiter à une déduction sur la base d’un rapport d’expertise :

« (…) afin d’apprécier le caractère approprié des mesures de sécurité que le responsable du traitement a mises en œuvre au titre de cet article, une expertise judiciaire ne saurait constituer un moyen de preuve systématiquement nécessaire et suffisant »

CJUE 14 décembre 2023, C/2024/1065

• Est-ce que le responsable de traitement ou le sous-traitant peut s’exonérer de sa responsabilité du seul fait que ce dommage a été causé par des cybercriminels ?

Les cybercriminels dont des tiers au sens de l’article 4, point 12, du RGPD.

Le responsable du traitement et/ou le sous-traitant pourrait s’exonérer de leur responsabilité en prouvant :

• L’absence de lien de causalité entre l’éventuelle violation de l’obligation de protection des données et le dommage subi par la personne physique ;
• Qu’il a respecté le RGPD et en particulier son obligation de protection des données à caractère personnel ;

« (…) le responsable du traitement ne saurait être exonéré de son obligation de réparer le dommage subi par une personne, au titre de l’article 82, paragraphes 1 et 2, de ce règlement, du seul fait que ce dommage résulte d’une divulgation non autorisée de données à caractère personnel ou d’un accès non autorisé à de telles données par des « tiers », au sens de l’article 4, point 10, dudit règlement, ledit responsable devant alors prouver que le fait qui a provoqué le dommage concerné ne lui est nullement imputable.

CJUE 14 décembre 2023, C/2024/1065

• Les recommandations en matière de sécurité de la CNIL et de l’ANSSI sont-elles obligatoires ?

 Non, elles n’ont pas de caractère impératif (il s’agit de soft law / droit souple) mais il s’agit de l’état de l’art à mettre en œuvre. Donc en pratique, il est recommandé au responsable de traitement et/ou au sous-traitant qui souhaitent s’en écarter de documenter leur choix.

• Quels sont les risques pour les personnes physiques concernées par une violation de données ?

La notion de dommage s’interprète au sein large :

• Dommages physiques
• Dommages matériels
• Préjudice moral 
• Perte de contrôle sur leurs données à caractère personnel
• Limitation de leurs droits
• Discrimination
• Un vol
• Une usurpation d’identité
• Une perte financière,
• Un renversement non autorisé de la procédure de pseudonymisation,
• Une atteinte à la réputation,
• Une perte de confidentialité de données à caractère personnel protégées par le secret professionnel
• Tout autre dommage économique ou social important

Le considérant 83 du RGPD liste les risques suivants : la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Dans la délibération de la CNIL SAN-2026-001 (IBAN concernés), il est évoqué les risques et préjudices suivants :

• Usurpation de leur identité,
• Tentative d’hameçonnage
• Exploitation frauduleuse de leurs coordonnées bancaires
• Préjudice moral pour les personnes concernées
• Préjudice matériel pour les personnes concernées
• Risques liés à la revente de leurs données à des personnes malveillantes,
• Risque de paiements frauduleux au moyen d’un IBAN usurpé.

• Comment évaluer le risque pour les personnes physiques concernées par une violation de données ?

 Le risque devrait faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

Mots clés : rgpd;article 32 ; obligation de sécurité ;

 Références

• CNIL Délibération SAN-2026-001 du 8 janvier 2026
• CJUE 14 décembre 2023, C/2024/1065