Sécurité RGPD 2026 : les 12 mesures exigées par la CNIL
Article 32 RGPD : les 12 mesures de sécurité techniques et organisationnelles exigées par la CNIL, checklist de conformité et sanctions à éviter en 2026.
L’essentiel. L’article 32 du RGPD impose des « mesures techniques et organisationnelles appropriées » sans en fixer la liste : c’est la CNIL, par ses recommandations et ses sanctions, qui en précise le contenu. En pratique, un socle de 12 mesures s’impose à toutes les organisations, quelle que soit leur taille : comptes individuels, mots de passe robustes, MFA, chiffrement en transit et au repos, journalisation, sauvegardes testées, mises à jour, sécurité des développements, sécurité physique, sensibilisation, encadrement des sous-traitants et gestion des violations. Leur absence est sanctionnable même sans fuite de données.
Vous cherchez à savoir ce que la CNIL attend concrètement en matière de sécurité des données personnelles ? L’article 32 du RGPD reste volontairement générique — « niveau de sécurité adapté au risque » —, ce qui laisse beaucoup d’organisations dans le flou. La bonne nouvelle : entre les recommandations de la CNIL, son guide de la sécurité des données et ses décisions de sanction, on peut reconstituer une liste précise d’exigences. Cet article la synthétise, domaine par domaine, avec la checklist des 12 mesures à mettre en place en priorité.
La checklist des 12 mesures de sécurité exigées
Avant le détail, voici la vue d’ensemble. Chaque mesure est rattachée à l’exigence de l’article 32 qu’elle concrétise. Traitez-les dans l’ordre : les premières sont celles que la CNIL sanctionne le plus fréquemment.
| # | Mesure | Domaine art. 32 | Priorité |
|---|---|---|---|
| 1 | Comptes individuels et gestion des accès | Confidentialité | ●●● |
| 2 | Politique de mots de passe robuste | Confidentialité | ●●● |
| 3 | Authentification multifacteur (MFA) | Confidentialité | ●●● |
| 4 | Chiffrement en transit (TLS 1.2+) | Chiffrement | ●●● |
| 5 | Chiffrement au repos et des sauvegardes | Chiffrement | ●●● |
| 6 | Journalisation et traçabilité | Intégrité / détection | ●● |
| 7 | Sauvegardes régulières et tests de restauration | Résilience | ●●● |
| 8 | Mises à jour et gestion des correctifs | Intégrité | ●●● |
| 9 | Sécurité des développements (by design) | Prévention | ●● |
| 10 | Sécurité physique et postes de travail | Confidentialité | ●● |
| 11 | Sensibilisation des collaborateurs | Organisationnel | ●●● |
| 12 | Encadrement des sous-traitants et gestion des violations | Organisationnel | ●● |
Les mesures 1 à 5, 7, 8 et 11 constituent le socle élémentaire dont l’absence est systématiquement relevée en contrôle. Nous les détaillons ci-dessous.
I. Le cadre juridique : l’article 32 du RGPD
A. Le principe de sécurité adaptée au risque
L’article 32 du RGPD n’impose pas un catalogue fixe. Il exige des mesures « appropriées » compte tenu de « l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques […] pour les droits et libertés des personnes physiques ».
Cette approche par les risques signifie que le niveau exigé varie selon le traitement. Les données sensibles (santé, données judiciaires, biométrie) appellent des mesures plus strictes qu’un simple fichier de contacts professionnels. Toutefois, un socle minimal s’impose dans tous les cas, comme le démontre la pratique de la CNIL.
L’article 32 cite explicitement quatre catégories de mesures « selon les besoins » :
- La pseudonymisation et le chiffrement des données ;
- Les moyens de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes ;
- Les moyens de rétablir la disponibilité des données en cas d’incident ;
- Une procédure pour tester, analyser et évaluer régulièrement l’efficacité des mesures.
Pour une analyse complète de l’article 32 et de ses implications, une lecture croisée avec les lignes directrices du Comité européen de la protection des données (EDPB) s’impose.
B. Une obligation de moyens renforcée
L’obligation de sécurité du RGPD est une obligation de moyens — l’organisation n’est pas tenue de garantir une sécurité absolue — mais c’est une obligation de moyens renforcée. La CNIL a sanctionné des organisations qui n’avaient pas mis en œuvre les mesures « élémentaires », même en l’absence de toute violation constatée. L’absence de mesures basiques constitue en soi un manquement, indépendamment de la survenance d’un incident.
II. Les mesures techniques par domaine
A. Gestion des accès et authentification (mesures 1 à 3)
La gestion des accès est le domaine le plus fréquemment examiné en contrôle et le plus souvent sanctionné.
- Comptes individuels : chaque utilisateur doit disposer d’un compte nominatif. Les comptes partagés sont proscrits pour l’accès aux données personnelles. La CNIL a sanctionné à plusieurs reprises l’usage d’identifiants génériques partagés entre plusieurs salariés.
- Politique de mots de passe : la CNIL a publié en 2022 une recommandation dédiée aux mots de passe, avec des exigences différenciées selon le contexte — au minimum 12 caractères avec complexité (majuscules, minuscules, chiffres, caractères spéciaux), ou 8 caractères assortis d’une mesure complémentaire (restriction du nombre de tentatives, CAPTCHA, temporisation). Les comptes à privilèges font l’objet d’exigences renforcées.
- Authentification multifacteur (MFA) : la CNIL considère de plus en plus la MFA comme une mesure élémentaire pour les accès privilégiés, les accès distants et les traitements sensibles. Plusieurs sanctions citent son absence comme facteur aggravant.
- Principe du moindre privilège : les droits d’accès doivent être strictement limités aux besoins fonctionnels. La CNIL sanctionne les organisations où l’ensemble des salariés accèdent à l’intégralité des données clients sans justification.
- Revue périodique des droits : les habilitations doivent être révisées régulièrement, et les comptes des collaborateurs partis désactivés sans délai.
Le RSSI pilote généralement cette politique, en coordination avec la DSI et les directions métiers. Les règles d’usage doivent par ailleurs figurer dans une charte informatique opposable aux salariés.
B. Chiffrement des données (mesures 4 et 5)
Le chiffrement est cité explicitement à l’article 32. La CNIL en fait un élément central de sa doctrine.
- Chiffrement en transit : l’usage de protocoles sécurisés (TLS 1.2 minimum, idéalement TLS 1.3) est une exigence de base pour toute transmission de données personnelles sur un réseau. La CNIL a sanctionné des organisations transmettant des données de santé en clair. L’ANSSI publie des recommandations détaillées sur la configuration TLS.
- Chiffrement au repos : le chiffrement des bases et des supports de stockage est recommandé, et considéré comme incontournable pour les données sensibles (santé, biométrie, infractions). Les obligations de chiffrement sont détaillées dans notre guide dédié.
- Chiffrement des sauvegardes : les copies de sauvegarde doivent être chiffrées, en particulier sur supports amovibles ou dans le cloud.
- Gestion des clés : les clés doivent être stockées séparément des données chiffrées, à accès restreint, et renouvelées selon une périodicité définie.
C. Journalisation et traçabilité (mesure 6)
La CNIL exige que les accès aux données personnelles soient tracés afin de détecter les accès anormaux et de reconstituer les événements en cas d’incident.
- Journalisation des accès aux applications contenant des données (qui, quand, quelle action) ;
- Conservation des logs pendant une durée appropriée (6 mois est la pratique courante) ;
- Protection de l’intégrité des logs contre la modification ou la suppression ;
- Analyse régulière pour détecter les anomalies ;
- Alertes sur les événements critiques (tentatives de connexion échouées massives, accès hors horaires, téléchargements volumineux).
La journalisation est un pilier de la gestion des incidents de sécurité et un prérequis de tout audit de sécurité informatique efficace.
D. Sauvegarde et continuité (mesure 7)
La capacité à restaurer les données en cas d’incident est une exigence explicite de l’article 32.
- Stratégie de sauvegarde : sauvegardes régulières (quotidiennes pour les données critiques), avec conservation de plusieurs générations ;
- Tests de restauration : les sauvegardes doivent être testées périodiquement. La CNIL a relevé l’absence de tests de restauration comme un manquement ;
- Séparation des sauvegardes : les copies doivent être stockées sur des supports ou sites distincts de la production, pour résister aux rançongiciels ;
- Plan de continuité (PCA) et de reprise (PRA) : pour les traitements critiques, ils doivent être définis et testés.
E. Mises à jour et sécurité des développements (mesures 8 et 9)
- Gestion des correctifs : les mises à jour de sécurité doivent être appliquées dans des délais raisonnables. La CNIL a sanctionné l’usage de composants logiciels obsolètes présentant des vulnérabilités connues (systèmes en fin de vie, langages non supportés).
- Security by design : intégration de la sécurité dès la conception (article 25 du RGPD) ;
- Validation des entrées : protection contre les injections SQL, les failles XSS et les vulnérabilités applicatives courantes ;
- Gestion des sessions : durée limitée, régénération des identifiants, protection contre le vol de session ;
- Tests de sécurité : tests d’intrusion avant mise en production et après chaque modification significative.
F. Sécurité physique et postes de travail (mesure 10)
- Contrôle d’accès physique aux locaux hébergeant serveurs et équipements ;
- Protection contre les risques environnementaux (incendie, inondation, coupure électrique) ;
- Politique du bureau propre (clean desk) : pas de documents sensibles laissés sans surveillance ;
- Sécurisation des postes : verrouillage automatique, chiffrement des disques, en particulier pour les portables. Ces règles doivent être relayées en cas de télétravail.
III. Les mesures organisationnelles (mesures 11 et 12)
A. La politique de sécurité
La CNIL attend une politique de sécurité des systèmes d’information (PSSI) formalisée, approuvée par la direction, communiquée aux collaborateurs et révisée périodiquement. Elle doit couvrir au minimum : gouvernance, gestion des accès, classification de l’information, gestion des incidents, sécurité des tiers, sécurité physique et continuité.
B. La sensibilisation des collaborateurs
La CNIL fait de la sensibilisation un pilier. Son absence est systématiquement relevée en contrôle. Le programme doit couvrir les règles d’usage des systèmes, la reconnaissance du phishing, les procédures de signalement d’incident et les règles propres aux données personnelles. C’est souvent la mesure au meilleur rapport coût/efficacité.
C. La gestion des sous-traitants
Le recours à un sous-traitant impose des obligations spécifiques (article 28 du RGPD). La CNIL vérifie :
- L’existence d’un contrat conforme à l’article 28 ;
- L’évaluation préalable des garanties de sécurité du sous-traitant ;
- Un suivi continu, incluant des audits périodiques. La conduite d’un audit RGPD des sous-traitants est recommandée.
D. La gestion des violations de données
La CNIL contrôle la capacité à détecter, qualifier et gérer les violations de données. La procédure en cas de fuite de données doit être formalisée, connue des équipes et testée. Lorsqu’une notification est requise, elle intervient dans les 72 heures : voir notre modèle de notification à la CNIL. La procédure doit couvrir détection, qualification, notification, remédiation et retour d’expérience.
IV. Sanctions : ce que la CNIL réprime le plus
L’analyse des délibérations de sanction révèle les manquements de sécurité les plus courants :
- Défaut de chiffrement : données transmises en clair, mots de passe stockés en clair ou avec un algorithme obsolète (MD5, SHA-1 sans sel).
- Politique de mots de passe insuffisante : mots de passe trop courts, sans complexité.
- Gestion des accès défaillante : comptes partagés, droits excessifs, absence de revue, comptes d’anciens collaborateurs non désactivés.
- Absence de journalisation : impossibilité de détecter ou de reconstituer un incident.
- Composants obsolètes : logiciels en fin de vie présentant des vulnérabilités connues et non corrigées.
Le montant des sanctions est proportionnel à la gravité du manquement, au volume et à la sensibilité des données, et à la taille de l’organisation. Les sanctions pour défaut de sécurité représentent une part croissante de l’activité répressive de la CNIL. À cela s’ajoute la superposition de la conformité NIS2 : les sanctions NIS2 s’ajoutent au risque RGPD pour les entités concernées, amplifiant l’exposition financière.
V. Plan d’action et ressources
A. Priorités d’action
- Auditer l’existant : cartographier les mesures en place et les comparer aux exigences. Un audit de sécurité informatique est le point de départ.
- Corriger les manquements élémentaires : chiffrement, mots de passe et gestion des accès en priorité — ce sont les plus sanctionnés.
- Formaliser la documentation : PSSI, procédures d’incident, registre des violations, contrats de sous-traitance.
- Déployer la journalisation : collecte et analyse des logs sur les systèmes traitant des données personnelles.
- Former les équipes : programme de sensibilisation couvrant obligations RGPD et bonnes pratiques.
Au-delà de ces chantiers techniques, la démonstration de conformité repose sur la documentation : un logiciel RGPD permet d’industrialiser le suivi des mesures de sécurité, la tenue du registre des violations et la production des preuves attendues en cas de contrôle.
B. Référentiels
La CNIL publie un guide de la sécurité des données personnelles, régulièrement actualisé, qui constitue le référentiel de base. L’ANSSI fournit des guides techniques (chiffrement, accès, journalisation, configuration sécurisée). La norme ISO 27001 structure le système de management de la sécurité. Au niveau européen, l’ENISA publie des guidelines sectorielles complémentaires. La checklist de conformité NIS2 peut servir de base commune, les exigences NIS2 et RGPD étant largement convergentes en matière de sécurité.
FAQ
La CNIL peut-elle sanctionner un défaut de sécurité sans violation de données ?
Oui. La CNIL peut sanctionner un manquement à l’article 32 indépendamment de toute violation. L’obligation de sécurité est une obligation de moyens : l’absence de mesures appropriées constitue un manquement en soi, même sans incident. La CNIL a prononcé plusieurs sanctions sur ce seul fondement, à la suite de contrôles ayant révélé des failles non exploitées.
Quelles mesures la CNIL considère-t-elle comme « élémentaires » ?
Les mesures dont l’absence est systématiquement sanctionnée : comptes individuels non partagés, politique de mots de passe robuste, chiffrement des données en transit (TLS), stockage sécurisé des mots de passe (hachage adapté avec sel), gestion des habilitations avec revue périodique, journalisation des accès, mise à jour des composants, et sauvegardes régulières. Ce socle s’impose quelle que soit la taille de l’organisation.
La certification ISO 27001 suffit-elle à satisfaire le RGPD ?
Non. ISO 27001 démontre la maturité du management de la sécurité, mais ne couvre pas toutes les exigences du RGPD (minimisation, limitation de conservation, droits des personnes) qui débordent son périmètre natif. Elle constitue néanmoins un élément de preuve solide de diligence et couvre une grande partie des exigences techniques de l’article 32.
Les TPE/PME ont-elles les mêmes obligations que les grandes entreprises ?
Le niveau de sécurité doit être adapté au risque : les exigences sont proportionnées à la nature des données, aux volumes et aux risques. Une TPE traitant des données de santé sera soumise à des exigences élevées malgré sa taille. À l’inverse, les mesures les plus avancées (SOC 24/7, SIEM) ne sont pas attendues d’une TPE gérant de simples contacts. Mais le socle élémentaire (mots de passe, chiffrement, sauvegardes, mises à jour) s’impose à toutes. Pour les structures intermédiaires, une solution de prévention des fuites (DLP) constitue un complément utile.
Par quelle mesure commencer quand on part de zéro ?
Par la gestion des accès et les mots de passe : ce sont les manquements les plus fréquemment sanctionnés et les moins coûteux à corriger. Instaurez des comptes individuels, une politique de mots de passe conforme et la MFA sur les accès sensibles, puis attaquez le chiffrement en transit (TLS) et les sauvegardes testées. Ces quatre chantiers couvrent l’essentiel du risque de sanction.
La MFA est-elle obligatoire ?
Le RGPD ne la nomme pas explicitement, mais la CNIL la considère comme une mesure élémentaire pour les accès privilégiés, les accès distants et les traitements de données sensibles. Son absence est citée comme facteur aggravant dans plusieurs sanctions. En pratique, ne pas déployer la MFA sur ces accès expose à un risque réel de qualification de manquement à l’article 32.
La sécurité RGPD ne se résume pas à un pare-feu : elle combine des mesures techniques et organisationnelles que la CNIL évalue globalement. Le socle des 12 mesures ci-dessus couvre l’essentiel du risque de sanction — commencez par les accès et le chiffrement, documentez chaque décision, et testez régulièrement l’efficacité de vos dispositifs.