Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mercredi 29 avril 2026
Accueil/RGPD/Article 32 RGPD : sécurité du traitement décryptée
RGPD

Article 32 RGPD : sécurité du traitement décryptée

Article 32 RGPD : obligations de sécurité, jurisprudence CJUE NAP C-340/21, sanctions CNIL Dedalus, Discord, Spartoo. Guide pratique 2026.

Par Thiebaut DevergrannePublie le 29 avril 2026Mis a jour le 29 avril 202615 min de lecture
Sommaire
  1. Ce que dit l’article 32 du RGPD
  2. Article 32(1)(a) : pseudonymisation et chiffrement
  3. Article 32(1)(b) : confidentialité, intégrité, disponibilité, résilience
  4. Article 32(1)© : restauration et sauvegardes
  5. Article 32(1)(d) : tests et évaluations régulières
  6. Article 32(2) : l’évaluation du niveau de sécurité approprié
  7. Article 32(3) : codes de conduite et certifications
  8. Article 32(4) : instructions du sous-traitant et personnes habilitées
  9. La jurisprudence CJUE : l’arrêt NAP du 14 décembre 2023
  10. Les sanctions CNIL emblématiques sur l’article 32
  11. Plan d’application opérationnel de l’article 32
  12. Ce qu’il faut retenir
  13. FAQ

L’article 32 du RGPD est, avec l’article 6, l’un des deux articles les plus sanctionnés par la CNIL. La délibération SAN-2022-012 du 21 avril 2022 contre Dedalus Biologie l’a illustré spectaculairement : 1,5 million d’euros d’amende pour la fuite de 491 000 dossiers médicaux, fondée principalement sur trois manquements à l’Art. 32 — absence de chiffrement, mot de passe générique, défaut de procédure de transfert sécurisée. L’article 32 ne pose pas une exigence de résultat, mais une obligation de moyens dont les contours ont été précisés par la CJUE dans l’arrêt NAP du 14 décembre 2023. Ce guide en fait l’analyse paragraphe par paragraphe, avec les sanctions clés et un plan d’application opérationnel.

Ce que dit l’article 32 du RGPD

L’Art. 32 RGPD comporte quatre paragraphes que je commenterai successivement. Le premier paragraphe est le cœur du dispositif :

« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (…) pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. »

Quatre observations préliminaires, qui structurent toute la suite. D’abord, l’obligation pèse conjointement sur le responsable de traitement et sur le sous-traitant : l’Art. 32 est l’un des rares articles à imposer une obligation directe au sous-traitant, ce qui justifie que la CNIL puisse sanctionner les deux côtés de la chaîne. Ensuite, le critère d’« état des connaissances » impose une mise à jour permanente : un chiffrement considéré comme robuste en 2018 ne l’est plus nécessairement en 2026. Le critère de « coûts de mise en œuvre » introduit une proportionnalité économique, mais celle-ci est limitée : un coût élevé n’exonère pas si le risque est élevé. Enfin, le mot « approprié » est central — il renvoie à une analyse de risques préalable, distincte de l’analyse d’impact prévue à l’Art. 35 RGPD.

Article 32(1)(a) : pseudonymisation et chiffrement

Le premier exemple cité par le législateur n’est pas anodin. La pseudonymisation et le chiffrement sont les deux techniques que l’EDPB et la CNIL considèrent comme des standards minimaux dans la quasi-totalité des contextes. Leurs définitions figurent à l’Art. 4 RGPD : la pseudonymisation est un traitement qui rend les données non attribuables sans informations supplémentaires conservées séparément ; le chiffrement n’est pas défini par le RGPD mais s’entend de toute transformation rendant la donnée inintelligible sans clé.

En pratique, trois implémentations sont systématiquement contrôlées par la CNIL :

  • Chiffrement au repos : bases de données, sauvegardes, supports amovibles. L’absence de chiffrement des sauvegardes a été l’un des griefs de la SAN-2022-012 Dedalus.
  • Chiffrement en transit : TLS 1.2 minimum, idéalement 1.3. La transmission de données médicales par mail non chiffré reste l’un des manquements les plus fréquents en 2026.
  • Hachage des mots de passe : bcrypt, Argon2 ou scrypt avec un sel unique. La SAN-2021-014 Spartoo a sanctionné le hachage MD5 sans sel.

La distinction entre pseudonymisation et anonymisation reste mal comprise par les opérationnels. La pseudonymisation conserve la qualité de donnée personnelle, contrairement à l’anonymisation. Pour le détail technique et juridique, voir mon guide pseudonymisation et anonymisation RGPD.

Article 32(1)(b) : confidentialité, intégrité, disponibilité, résilience

Le législateur reprend ici la triade CIA (Confidentiality, Integrity, Availability) classique en sécurité de l’information, en y ajoutant la résilience. Cette dernière notion, empruntée à la continuité d’activité, est devenue centrale depuis l’explosion des attaques par rançongiciel.

Concrètement, l’application de l’Art. 32(1)(b) se traduit par :

  • Une politique de gestion des accès fondée sur le principe du moindre privilège (RBAC, ABAC) — la SAN-2024-008 SAF Logistics du 5 décembre 2024 a précisément sanctionné l’attribution généralisée de droits d’administration.
  • L’authentification multifacteur sur les comptes à privilèges et les accès à distance. Sur les obligations détaillées, voir authentification forte MFA.
  • La segmentation réseau et l’isolation des environnements (production / pré-production / développement).
  • Une politique de journalisation et de supervision permettant de détecter les anomalies — l’absence de logs est régulièrement relevée comme un manquement en cas de violation.

La résilience suppose, en complément, la capacité à fonctionner en mode dégradé : redondance des systèmes critiques, plans de bascule, exercices de continuité. C’est sur ce terrain que l’Art. 32 RGPD recoupe la directive NIS2, le Cyber Resilience Act et le règlement DORA pour les acteurs financiers — quatre régimes que les responsables de traitement doivent désormais articuler.

Article 32(1)© : restauration et sauvegardes

Le troisième pilier impose la capacité à rétablir la disponibilité des données dans des « délais appropriés » en cas d’incident. Cette obligation est devenue critique avec la généralisation des attaques par rançongiciel : la majorité des organisations victimes en France en 2025 n’ont pas pu restaurer leurs données dans les délais espérés, faute de sauvegardes isolées.

Trois exigences se dégagent en pratique :

  • Sauvegardes 3-2-1 : trois copies, sur deux supports différents, dont une hors site. Cette règle ANSSI est désormais le standard implicite.
  • Sauvegardes immutables ou air-gapped : déconnectées du réseau de production, immunisées contre une compromission par rançongiciel.
  • Tests de restauration réguliers : une sauvegarde non testée n’est pas une sauvegarde. Les exigences détaillées figurent dans mon guide plan de continuité d’activité.

Les délais appropriés s’apprécient en fonction de la nature des données et du contexte. Pour un hôpital ou un opérateur d’importance vitale, le RTO (Recovery Time Objective) doit être chiffré en heures, pas en jours.

Article 32(1)(d) : tests et évaluations régulières

Le quatrième pilier impose une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures. C’est l’obligation la plus systématiquement défaillante en pratique : nombre d’organisations rédigent une politique de sécurité ambitieuse mais ne la testent jamais.

L’EDPB a précisé dans ses Guidelines 9/2022 qu’une politique de sécurité non testée ne satisfait pas à l’Art. 32. Les tests attendus comprennent :

  • Audits internes annuels documentés.
  • Tests d’intrusion (pentest) sur les applications exposées et les périmètres critiques. Voir tests d’intrusion : obligations et pratiques.
  • Exercices de simulation d’incident (table-top) impliquant les équipes métier, juridique et communication.
  • Analyses de vulnérabilités automatisées et gestion des correctifs.
  • Revue annuelle des droits d’accès — l’oubli des droits des anciens salariés est un grief récurrent dans les sanctions CNIL.

La périodicité « régulière » n’est pas définie par le texte. La CNIL retient en pratique un rythme annuel pour les contrôles structurants, semestriel pour les revues de droits, et plus fréquent pour les analyses techniques.

Article 32(2) : l’évaluation du niveau de sécurité approprié

Le paragraphe 2 précise les critères d’appréciation du « niveau de sécurité approprié » :

« Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données. »

L’analyse de risques attendue n’est pas une AIPD au sens de l’Art. 35 — elle est plus large et plus continue. Elle doit identifier, pour chaque traitement :

  1. Les scénarios de menace : accès illicite, divulgation, destruction accidentelle, altération, perte de disponibilité.
  2. La gravité potentielle pour les personnes : impact financier, atteinte à la vie privée, discrimination, vol d’identité.
  3. La vraisemblance de chaque scénario compte tenu des mesures en place.
  4. Les mesures de réduction complémentaires nécessaires pour ramener le risque à un niveau acceptable.

Pour les traitements à risque élevé, cette analyse est intégrée à l’AIPD prévue à l’Art. 35 RGPD. Pour les autres, elle peut prendre la forme plus légère d’une fiche d’analyse de risques par traitement, intégrée au registre des activités. La méthodologie EBIOS Risk Manager de l’ANSSI est, en France, la référence dominante. Pour son application, voir analyse de risques EBIOS et ISO 27005.

Article 32(3) : codes de conduite et certifications

Le paragraphe 3 prévoit que l’application d’un code de conduite approuvé (Art. 40) ou d’un mécanisme de certification approuvé (Art. 42) « peut servir d’élément pour démontrer le respect » des obligations du paragraphe 1.

Cette disposition reste sous-utilisée. En 2026, peu de codes de conduite européens ont été approuvés, et le mécanisme de certification européenne en matière de protection des données peine à émerger. En pratique, les responsables de traitement s’appuient sur :

  • Les certifications ISO/IEC 27001 (système de management de la sécurité) et ISO 27701 (extension vie privée) — non spécifiques au RGPD mais largement reconnues comme indices de conformité.
  • La qualification SecNumCloud de l’ANSSI pour les hébergeurs de données sensibles. Voir SecNumCloud : la qualification ANSSI.
  • Le référentiel HDS (Hébergeurs de Données de Santé) pour les données médicales.

Aucun de ces référentiels n’exonère du respect de l’Art. 32 : ils en facilitent la démonstration, mais l’obligation reste autonome.

Article 32(4) : instructions du sous-traitant et personnes habilitées

Le paragraphe 4 dispose que le responsable de traitement et le sous-traitant prennent des mesures pour que toute personne agissant sous leur autorité et ayant accès aux données ne les traite que sur instruction du responsable. C’est l’articulation directe avec l’Art. 28 RGPD sur la sous-traitance et avec l’Art. 29 RGPD sur les personnes habilitées.

En pratique, cette disposition impose :

  • L’inclusion de clauses de confidentialité et de respect des instructions dans tous les contrats avec les salariés et les prestataires.
  • La rédaction et la signature d’une charte informatique RGPD par tous les utilisateurs des systèmes d’information.
  • La traçabilité des accès et des actions sur les données — ce qui suppose des journaux applicatifs conformes aux exigences de l’Art. 32(1)(b).
  • Pour les sous-traitants, des engagements contractuels chiffrement, restauration, pseudonymisation, calqués sur l’Art. 28(3).

Une contradiction fréquente : déléguer un traitement à un sous-traitant sans s’assurer de son propre dispositif Art. 32. Le contrat ne suffit pas — la CNIL contrôle la due diligence effective du responsable.

La jurisprudence CJUE : l’arrêt NAP du 14 décembre 2023

L’arrêt CJUE Natsionalna agentsia za prihodite, C-340/21 du 14 décembre 2023, est l’arrêt fondateur sur l’Art. 32. Saisie d’une cyberattaque ayant exposé les données fiscales de 6 millions de Bulgares, la Cour a posé quatre principes essentiels.

Premier principe : la survenance d’une cyberattaque réussie ne signifie pas automatiquement que les mesures de sécurité étaient inappropriées. L’Art. 32 est une obligation de moyens, pas de résultat.

Deuxième principe : la charge de la preuve du caractère approprié des mesures pèse sur le responsable de traitement, conformément à l’Art. 5(2) (accountability). C’est au responsable de démontrer activement qu’il avait mis en œuvre des mesures appropriées avant l’incident.

Troisième principe : le caractère approprié des mesures s’apprécie de manière concrète, en tenant compte de l’état des connaissances au moment des faits. Le juge national doit examiner les mesures effectivement déployées au regard du risque.

Quatrième principe : la crainte d’un usage frauduleux futur des données peut, à elle seule, constituer un dommage moral indemnisable au sens de l’Art. 82, à condition d’être démontrée concrètement. Cette ouverture a été précisée et affinée dans les arrêts ultérieurs (CJUE, C-687/21 du 25 janvier 2024 ; CJUE, C-741/21 Juris du 4 octobre 2024).

L’impact opérationnel est considérable : un responsable victime d’une cyberattaque doit être en mesure de produire, à très court terme, l’analyse de risques antérieure, la liste des mesures mises en œuvre et la preuve de leur application effective. À défaut, il sera présumé en manquement à l’Art. 32.

Les sanctions CNIL emblématiques sur l’article 32

Au-delà de Dedalus Biologie, plusieurs délibérations structurent la doctrine CNIL :

  • SAN-2022-022 Free Mobile (300 000 €, 30 novembre 2022) : envoi d’identifiants et mots de passe en clair par e-mail, conservation de mots de passe en clair en base de données. La CNIL a considéré que ces pratiques étaient « contraires à l’état de l’art ».
  • SAN-2022-009 Discord (800 000 €, 10 novembre 2022) : durées de conservation excessives, défaut de tests d’efficacité des mesures de sécurité.
  • SAN-2024-001 Hubside (525 000 €, 4 avril 2024) : insuffisance des mesures techniques pour limiter les accès et tracer les actions.
  • SAN-2021-014 Spartoo (250 000 €, 28 juillet 2021) : enregistrement intégral des conversations téléphoniques, hachage MD5 des mots de passe sans sel, complexité insuffisante.
  • SAN-2024-008 SAF Logistics (200 000 €, 5 décembre 2024) : attribution généralisée de droits administrateur, absence de cloisonnement des accès aux données salariés.

La doctrine CNIL converge vers cinq griefs récurrents : (1) hachage faible des mots de passe, (2) absence ou insuffisance de chiffrement, (3) gestion défaillante des droits d’accès, (4) absence de tests, (5) traçabilité défaillante. Pour une analyse exhaustive de la grille de sanction CNIL, voir sanctions CNIL 2026 et sanctions RGPD.

Plan d’application opérationnel de l’article 32

Dans mon expérience de conseil auprès de PME et d’ETI, la conformité à l’Art. 32 ne se construit pas en un audit unique mais à travers six chantiers que tout responsable de traitement doit pouvoir documenter à tout moment.

1. Cartographie des risques par traitement — pour chaque ligne du registre, identifier les scénarios de menace et la gravité potentielle. Pour les traitements à risque élevé, basculer sur une AIPD complète.

2. Politique de sécurité du système d’information — document unique, à jour, couvrant les domaines techniques (chiffrement, sauvegarde, journalisation, MFA) et organisationnels (gestion des comptes, sensibilisation, gestion des incidents).

3. Mesures techniques minimales — chiffrement TLS 1.2+, hachage Argon2/bcrypt, MFA sur les accès distants et privilèges, sauvegardes 3-2-1 immuables, segmentation réseau. Voir chiffrement des données : obligations.

4. Procédure de gestion des violations — détection, qualification, notification CNIL en 72 heures (Art. 33), communication aux personnes le cas échéant (Art. 34). Voir notification de violation de données et Article 33 RGPD.

5. Plan de tests — pentest annuel des applications exposées, exercice de crise annuel, audits de droits semestriels, scans de vulnérabilités mensuels.

6. Articulation avec le sous-traitant — clauses Art. 28 incluant les engagements de sécurité, due diligence préalable, audits contractuels.

C’est précisément ce travail de structuration et de documentation continue que Legiscope automatise pour les organisations qui n’ont pas les ressources d’un DPO interne à plein temps. Pour une approche plus opérationnelle de la sécurité, voir mon guide compagnon sécurité des données et article 32 RGPD.

Ce qu’il faut retenir

  • L’Art. 32 RGPD impose au responsable et au sous-traitant des mesures techniques et organisationnelles appropriées au risque, et non un niveau de sécurité absolu.
  • Les quatre piliers du paragraphe 1 — pseudonymisation/chiffrement, CIA + résilience, restauration, tests — doivent tous être documentés et mis en œuvre.
  • L’arrêt CJUE NAP C-340/21 a clarifié que la charge de la preuve du caractère approprié des mesures pèse sur le responsable, et qu’une cyberattaque réussie ne caractérise pas automatiquement un manquement.
  • Les sanctions CNIL emblématiques (Dedalus 1,5 M€, Discord 800 K€, Hubside 525 K€) convergent sur cinq griefs : hachage faible, absence de chiffrement, droits d’accès trop larges, défaut de tests, traçabilité insuffisante.
  • Six chantiers structurent un dispositif Art. 32 robuste : cartographie des risques, PSSI, mesures techniques minimales, gestion des violations, plan de tests, articulation sous-traitant.

FAQ

L’article 32 RGPD impose-t-il une obligation de résultat ?

Non. L’Art. 32 est une obligation de moyens. La CJUE l’a confirmé dans l’arrêt NAP C-340/21 du 14 décembre 2023 : la survenance d’une cyberattaque réussie ne caractérise pas automatiquement un manquement. En revanche, la charge de la preuve du caractère approprié des mesures pèse sur le responsable de traitement, qui doit pouvoir produire son analyse de risques et la documentation de ses mesures.

Quelles sont les mesures techniques minimales attendues par la CNIL en 2026 ?

La CNIL retient cinq mesures comme socle minimal : chiffrement TLS 1.2 ou supérieur des communications, chiffrement au repos des données sensibles, hachage des mots de passe avec un algorithme robuste (bcrypt, Argon2), authentification multifacteur sur les accès à distance et privilégiés, sauvegardes isolées du réseau de production. L’absence de l’une de ces mesures est régulièrement caractérisée comme un manquement à l’Art. 32 dans les délibérations récentes.

Le sous-traitant est-il directement soumis à l’article 32 ?

Oui. Contrairement à de nombreuses obligations du RGPD qui ne pèsent que sur le responsable de traitement, l’Art. 32(1) impose explicitement la mise en œuvre des mesures de sécurité « au responsable du traitement et au sous-traitant ». La CNIL peut donc sanctionner directement le sous-traitant, indépendamment du contrat de sous-traitance prévu à l’Art. 28. La SAN-2022-012 Dedalus Biologie a ainsi sanctionné Dedalus en sa qualité de sous-traitant des laboratoires d’analyses médicales.

Une certification ISO 27001 dispense-t-elle de l’application de l’article 32 ?

Non. La certification ISO 27001 n’exonère pas du respect de l’Art. 32. L’Art. 32(3) précise qu’un mécanisme de certification approuvé peut « servir d’élément pour démontrer le respect » des obligations, mais il s’agit d’un élément de preuve, non d’une présomption de conformité. Aucune certification ISO actuelle n’est officiellement approuvée comme mécanisme de certification au sens de l’Art. 42 du RGPD. La certification reste un atout probatoire significatif, sans plus.

Que faire si une cyberattaque expose des données malgré des mesures conformes ?

Trois étapes. Premièrement, qualifier la violation au sens de l’Art. 4(12) et notifier la CNIL dans les 72 heures (Art. 33), même si les mesures de sécurité étaient appropriées. Deuxièmement, communiquer aux personnes concernées si le risque est élevé (Art. 34). Troisièmement, documenter immédiatement l’analyse de risques antérieure, la liste des mesures déployées et la preuve de leur application effective — c’est cette documentation qui permettra de démontrer la conformité Art. 32 en cas de contrôle. Pour la procédure complète, voir mon guide notification de violation de données.

Articles lies

RGPD

Article 16 RGPD : le droit de rectification expliqué

29 avril 2026 · 13 min
RGPD

Article 12 RGPD : modalités d'exercice des droits

28 avril 2026 · 16 min
RGPD

Article 17 RGPD : le droit à l'effacement décrypté

28 avril 2026 · 18 min