Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/NIS2 / Securite/RGPD et sécurité : les mesures techniques et organisationnel...
NIS2 / Securite

RGPD et sécurité : les mesures techniques et organisationnelles exigées par la CNIL

Les mesures de sécurité techniques et organisationnelles exigées par la CNIL au titre du RGPD. Guide complet article 32 et recommandations.

Par Thiébaut DevergrannePublie le 17 mars 2026Mis a jour le 17 mars 202613 min de lecture
Sommaire
  1. I. Le cadre juridique : l’article 32 du RGPD
  2. II. Les mesures de sécurité par domaine
  3. III. Les mesures organisationnelles
  4. IV. L’approche de la CNIL en matière de sanctions
  5. V. Recommandations pratiques
  6. FAQ

L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en oeuvre des “mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”. Cette formulation, volontairement générique, laisse aux organisations une marge d’appréciation considérable. C’est la CNIL qui, par ses recommandations, ses guidelines et surtout ses décisions de sanction, donne un contenu concret à cette obligation. Cet article synthétise l’ensemble des exigences de sécurité telles qu’elles ressortent de la doctrine et de la pratique de la CNIL, organisées par domaine technique.

I. Le cadre juridique : l’article 32 du RGPD

A. Le principe de sécurité adaptée au risque

L’article 32 du RGPD n’impose pas un catalogue fixe de mesures de sécurité. Il exige que les mesures soient “appropriées” compte tenu de “l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques”.

Cette approche par les risques signifie que le niveau de sécurité exigé n’est pas le même pour tous les traitements. Le traitement de données de santé ou de données judiciaires appelle des mesures plus strictes que le traitement d’un fichier de contacts professionnels. Toutefois, un socle minimal de mesures s’impose dans tous les cas, comme le démontre la pratique de la CNIL.

L’article 32 cite explicitement quatre catégories de mesures “selon les besoins” :

  1. La pseudonymisation et le chiffrement des données
  2. Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes
  3. Les moyens permettant de rétablir la disponibilité des données en cas d’incident
  4. Une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures

Pour une analyse complète de l’article 32 et de ses implications, une lecture croisée avec les lignes directrices du Comité européen de la protection des données (EDPB) s’impose.

B. L’obligation de moyens renforcée

L’obligation de sécurité du RGPD est une obligation de moyens – l’organisation n’est pas tenue de garantir une sécurité absolue – mais c’est une obligation de moyens renforcée. La CNIL sanctionné les organisations qui n’ont pas mis en oeuvre les mesures “élémentaires” de sécurité, même lorsqu’aucune violation de données n’a été constatée. L’absence de mesures basiques constitue en soi un manquement, indépendamment de la survenance d’un incident.

II. Les mesures de sécurité par domaine

A. Gestion des accès et authentification

La gestion des accès est le domaine le plus fréquemment examiné par la CNIL dans ses contrôles et le plus souvent sanctionné en cas de défaillance.

Exigences minimales identifiées par la CNIL :

  • Comptes individuels : chaque utilisateur doit disposer d’un compte nominatif. L’utilisation de comptes partagés est proscrite pour les accès aux données personnelles. La CNIL a sanctionné à plusieurs reprises des organisations utilisant des identifiants generiques partagés entre plusieurs salariés.
  • Politique de mots de passe : la CNIL a publié sa recommandation du 17 octobre 2022 relative aux mots de passe. Elle impose des exigences différenciées selon le contexte : au minimum 12 caractères avec complexité, ou 8 caractères avec mesure complémentaire (restriction de tentatives, CAPTCHA). Pour les comptes privilégiés, les exigences sont renforcées.
  • Authentification multifacteur (MFA) : la CNIL considère de plus en plus la MFA comme une mesure élémentaire pour les accès privilégiés, les accès distants et les traitements de données sensibles. Plusieurs sanctions font référence à l’absence de MFA comme facteur aggravant.
  • Principe du moindre privilège : les droits d’accès doivent être strictement limités aux besoins fonctionnels de chaque utilisateur. La CNIL sanctionne les organisations ou l’ensemble des employés ont accès à l’intégralité des données clients sans justification.
  • Revue périodique des droits : les habilitations doivent être révisées régulièrement, et les comptes des collaborateurs ayant quitte l’organisation doivent être désactivés sans délai.

Le RSSI est généralement le pilote de la politique de gestion des accès, en coordination avec la DSI et les directions métiers.

B. Chiffrement des données

Le chiffrement est cité explicitement à l’article 32 du RGPD comme mesure de sécurité. La CNIL en fait un élément central de sa doctrine.

Chiffrement en transit : l’utilisation de protocoles sécurisés (TLS 1.2 minimum, idéalement TLS 1.3) est une exigence de base pour toute transmission de données personnelles sur un réseau. La CNIL a sanctionné des organisations transmettant des données de santé en clair sur internet. L’ANSSI publié des recommandations détaillées sur la configuration TLS.

Chiffrement au repos : le chiffrement des bases de données et des supports de stockage contenant des données personnelles est recommandé par la CNIL, et considéré comme obligatoire pour les données sensibles (santé, données biométriques, infractions). Les obligations en matière de chiffrement sont détaillées dans notre guide dédié.

Chiffrement des sauvegardes : les sauvegardes contenant des données personnelles doivent être chiffrées, en particulier lorsqu’elles sont stockées sur des supports amovibles ou dans le cloud.

Gestion des clés : la robustesse du chiffrement dépend de la qualité de la gestion des clés cryptographiques. Les clés doivent être stockées séparément des données chiffrées, leur accès doit être restreint, et elles doivent être renouvelées selon une périodicité définie.

C. Journalisation et traçabilité

La CNIL exige que les accès aux données personnelles soient tracés de manière a pouvoir détecter les accès anormaux et reconstituer les évènements en cas d’incident.

Exigences :

  • Journalisation des accès aux applications contenant des données personnelles (qui, quand, quelle action).
  • Conservation des logs pendant une durée appropriée (6 mois à 1 an est la pratique courante).
  • Protection de l’intégrité des logs contre la modification ou la suppression.
  • Analyse régulière des logs pour détecter les anomalies.
  • Mise en place d’alertes sur les évènements critiques (tentatives de connexion échouées massives, accès en dehors des horaires habituels, téléchargements volumineux).

La journalisation est un élément clé de la gestion des incidents de sécurité et constitue un prérequis pour tout audit de sécurité informatique efficace.

D. Sécurité des développements

La CNIL accorde une attention croissante à la sécurité des applications et des développements logiciels, en particulier pour les services en ligne et les applications mobiles.

Exigences identifiées :

  • Security by design : intégration de la sécurité dès le stade de la conception (article 25 du RGPD – protection des données des la conception).
  • Validation des entrées : protection contre les injections SQL, les failles XSS, et les autres vulnérabilités applicatives courantes.
  • Gestion des sessions : durée de session limitée, régénération des identifiants de session, protection contre le vol de session.
  • Tests de sécurité : réalisation de tests de pénétration avant la mise en production et après chaque modification significative.
  • Gestion des correctifs : application des mises à jour de sécurité dans des délais raisonnables. La CNIL a sanctionné des organisations utilisant des composants logiciels obsolètes présentant des vulnérabilités connues.

E. Sécurité physique et environnementale

La sécurité physique des locaux et des équipements fait partie intégrante des mesures exigées.

  • Contrôle d’accès physique aux locaux hébergeant les serveurs et les équipements de traitement.
  • Protection contre les risques environnementaux (incendie, inondation, coupure électrique).
  • Politique de bureau propre (clean desk) : interdiction de laisser des documents contenant des données personnelles accessibles sans surveillance.
  • Sécurisation des postes de travail : verrouillage automatique, chiffrement des disques durs, en particulier pour les ordinateurs portables.

F. Sauvegarde et continuité

La capacité a restaurer les données en cas d’incident est une exigence explicité de l’article 32.

  • Strategie de sauvegarde : sauvegardes régulières (quotidiennes pour les données critiques), avec conservation de plusieurs generations.
  • Tests de restauration : les sauvegardes doivent être testées périodiquement pour vérifier leur intégrité et la capacité effective de restauration. La CNIL a relève dans plusieurs délibérations l’absence de tests de restauration comme un manquement.
  • Séparation des sauvegardes : les copies de sauvegarde doivent être stockées sur des supports ou dans des sites distincts des systèmes de production, afin de résister aux attaques par rançongiciel.
  • Plan de continuité et de reprise : pour les traitements critiques, un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) doivent être définis et testés.

III. Les mesures organisationnelles

A. La politique de sécurité

La CNIL attend de toute organisation traitant des données personnelles qu’elle dispose d’une politique de sécurité des systèmes d’information (PSSI) formalisée, approuvée par la direction, communiquée à l’ensemble des collaborateurs et révisée périodiquement.

Cette politique doit couvrir au minimum : la gouvernance de la sécurité, la gestion des accès, la classification de l’information, la gestion des incidents, la sécurité des tiers, la sécurité physique, et la gestion de la continuité.

B. La sensibilisation des collaborateurs

La CNIL fait de la sensibilisation un pilier de la conformité. L’absence de programme de sensibilisation est systématiquement relevee lors des contrôles comme un manquement à l’obligation de sécurité. Le programme doit couvrir les règles d’utilisation des systèmes d’information, la reconnaissance des tentatives de phishing, les procédures de signalement d’incident, et les règles spécifiques applicables aux données personnelles.

C. La gestion des sous-traitants

Le recours à des sous-traitants traitant des données personnelles impose des obligations spécifiques (article 28 du RGPD). La CNIL verifie :

  • L’existence d’un contrat de sous-traitance conforme à l’article 28.
  • L’évaluation préalable des garanties de sécurité du sous-traitant.
  • La mise en oeuvre d’un suivi continu, incluant des audits périodiques. La conduite d’un audit RGPD des sous-traitants est recommandée.

D. La gestion des violations de données

La CNIL contrôle la capacité de l’organisation a détecter, qualifier et gérer les violations de données personnelles. La procédure en cas de fuite de données doit être formalisée, connue des équipes et testée. Elle doit couvrir la détection, la qualification, la notification aux autorités et aux personnes concernées, la remédiation et le retour d’expérience.

IV. L’approche de la CNIL en matière de sanctions

A. Les manquements les plus fréquemment sanctionnés

L’analyse des délibérations de sanction de la CNIL révèle les manquements de sécurité les plus couramment sanctionnés :

  1. Défaut de chiffrement : données transmises en clair, mots de passe stockés en clair ou avec un algorithme obsolète (MD5, SHA-1 sans sel).
  2. Politique de mots de passe insuffisante : mots de passe trop courts, absence de complexité, pas de renouvellement.
  3. Gestion des accès défaillante : comptes partagés, droits excessifs, absence de revue des habilitations, comptes d’anciens collaborateurs non désactivés.
  4. Absence de journalisation : pas de tracé des accès aux données, impossibilité de détecter ou de reconstituer un incident.
  5. Composants obsolètes : utilisation de logiciels en fin de vie (Windows XP, PHP non supporté) présentant des vulnérabilités connues et non corrigées.

B. La proportionnalité des sanctions

Le montant des sanctions est proportionnel à la gravité du manquement, au volume de données concernées, à la sensibilité des données et à la taille de l’organisation. Les sanctions pour défaut de sécurité représentent une part croissante de l’activité répressive de la CNIL. Les amendes vont de quelques dizaines de milliers d’euros pour des PME à plusieurs millions pour des grandes organisations.

La conformité NIS2 renforce encore ces exigences pour les entités concernées. Les sanctions NIS2 se superposent au risque RGPD, ce qui amplifie considérablement l’exposition financière des organisations en défaut de sécurité.

V. Recommandations pratiques

A. Priorités d’action

Pour les organisations souhaitant se mettre en conformité avec les attentes de la CNIL, les priorités d’action sont les suivantes :

  1. Réaliser un audit de l’existant : cartographier les mesures de sécurité en place et les comparer aux exigences de la CNIL. Un audit de sécurité informatique dédié est le point de départ indispensable.
  2. Corriger les manquements élémentaires : les défauts de chiffrement, de gestion des mots de passe et de gestion des accès doivent être corrigés en priorité, car ils sont les plus fréquemment sanctionnés.
  3. Formaliser la documentation : politique de sécurité, procédures de gestion des incidents, registre des violations, contrats de sous-traitance.
  4. Mettre en oeuvre la journalisation : déployer une solution de collecte et d’analyse des logs sur les systèmes traitant des données personnelles.
  5. Former les équipes : déployer un programme de sensibilisation couvrant les obligations RGPD et les bonnes pratiques de sécurité.

B. Référentiels et ressources

La CNIL publie un guide de la sécurité des données personnelles, régulièrement actualisé, qui constitue le référentiel de base. L’ANSSI publié des guides techniques complémentaires sur le chiffrement, la gestion des accès, la journalisation et la configuration sécurisée des systèmes. La norme ISO 27001 fournit un cadre structurant pour le système de management de la sécurité. Au niveau européen, l’ENISA publié des guidelines sectorielles qui completent utilement ces référentiels.

La checklist de conformité NIS2 peut également servir de base pour structurer les mesures de sécurité, les exigences NIS2 et RGPD étant largement convergentes en matière de sécurité.

FAQ

La CNIL peut-elle sanctionner un défaut de sécurité même en l’absence de violation de données ?

Oui. La CNIL peut sanctionner un manquement à l’obligation de sécurité de l’article 32 du RGPD indépendamment de la survenance d’une violation de données. L’obligation de sécurité est une obligation de moyens : elle impose de mettre en oeuvre des mesures appropriées, et l’absence de ces mesures constitue un manquement en soi, même si aucun incident ne s’est produit. La CNIL a prononcé plusieurs sanctions sur ce seul fondement, à la suite de contrôles ayant révèle des failles de sécurité non exploitées.

Quelles mesures de sécurité la CNIL considère-t-elle comme “élémentaires” ?

La CNIL qualifié d’élémentaires les mesures suivantes, dont l’absence est systématiquement sanctionnée : comptes utilisateurs individuels et non partagés, politique de mots de passe robuste, chiffrement des données en transit (TLS), stockage sécurisé des mots de passe (algorithmes de hachage adaptés avec sel), gestion des habilitations avec revue périodique, journalisation des accès, mise à jour des composants logiciels, et sauvegardes régulières. Ces mesures constituent le socle minimal, indépendamment de la taille de l’organisation ou de la sensibilité des données.

L’obtention de la certification ISO 27001 suffit-elle à satisfaire les exigences RGPD ?

Non. La certification ISO 27001 démontre la maturité du système de management de la sécurité, mais elle ne couvre pas l’ensemble des exigences du RGPD en matière de sécurité. Le RGPD impose des obligations spécifiques liées aux données personnelles (minimisation, limitation de la conservation, droits des personnes) qui ne sont pas dans le périmètre natif d’ISO 27001. En revanche, la certification constitue un élément de preuve solide de la diligence de l’organisation et couvre une grande partie des exigences techniques de l’article 32.

Les TPE/PME sont-elles soumises aux mêmes exigences de sécurité que les grandes entreprises ?

Le RGPD impose un niveau de sécurité adapté au risque, ce qui signifie que les exigences sont proportionnées à la nature des données traitées, aux volumes et aux risques associés. Une TPE traitant des données de santé sera soumise à des exigences élevées en raison de la sensibilité des données, même si sa taille est modeste. Inversement, les mesures les plus avancées (SOC 24/7, DLP, SIEM) ne seront pas attendues d’une TPE traitant uniquement des données de contact. Toutefois, le socle élémentaire (mots de passe, chiffrement, sauvegardes, mises à jour) s’impose à toutes les organisations sans exception. Pour les organisations de taille intermédiaire, le déploiement d’une solution de prévention des fuites de données (DLP) constitue une mesure complémentaire efficace pour protéger la confidentialité des données personnelles.

Articles lies

NIS2 / Securite

SecNumCloud : la qualification ANSSI du cloud de confiance

14 avril 2026 · 11 min
NIS2 / Securite

Notification de cyberattaque : qui prévenir, quand et comment

24 mars 2026 · 12 min
NIS2 / Securite

Pénalités NIS2 : montants des sanctions et régime d'application

23 mars 2026 · 12 min