Sécurité des données personnelles : les obligations de l'article 32 du RGPD

L’article 32 du RGPD constitue le socle juridique de l’obligation de sécurité des données personnelles dans le droit européen de la protection des données. Souvent sous-estimé par les organisations, ce texte impose pourtant des exigences concrètes dont le non-respect est sanctionné par des amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial. Comprendre ses mécanismes est indispensable pour toute organisation traitant des données à caractère personnel.

I. Texte intégral et analyse de l’article 32

Avant d’entrer dans l’analyse, il convient de rappeler le texte lui-même :

Article 32 – Sécurité du traitement

1. Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès a celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, a analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé a de telles données, de manière accidentelle ou illicite.

Plusieurs éléments méritent une attention particulière. D’abord, le texte vise conjointement le responsable de traitement et le sous-traitant : l’obligation de sécurité n’est pas délégable. Ensuite, le législateur européen a volontairement adopté une approche souple en évitant de figer les mesures techniques dans le texte. Enfin, la notion de mesures “appropriées” renvoie directement à une analyse de risques préalable.

II. Les quatre piliers de la sécurité selon l’article 32

Le texte identifie quatre catégories de mesures que toute organisation doit envisager.

A. Pseudonymisation et chiffrement (art. 32-1-a)

La pseudonymisation consiste à traiter les données de telle sorte qu’elles ne puissent plus être attribuées à une personne sans informations supplémentaires, ces informations étant conservées séparément. Le chiffrement vise à rendre les données inintelligibles à toute personne non autorisée. Pour une analyse détaillée des différences juridiques et techniques entre ces deux notions, consultez notre guide pseudonymisation vs anonymisation RGPD.

En pratique, cela recouvre le chiffrement des bases de données au repos (AES-256), le chiffrement des communications (TLS 1.2 minimum, idéalement 1.3), le chiffrement des sauvegardes et des supports amovibles, ainsi que la pseudonymisation des jeux de données utilisés en environnement de test ou de développement.

La CNIL a rappelé a de nombreuses reprises que le stockage de mots de passe en clair constitue un manquement à l’article 32. Le hachage avec un algorithme robuste (bcrypt, Argon2) est désormais un standard minimal.

B. Confidentialité, intégrité, disponibilité et résilience (art. 32-1-b)

Ce second pilier reprend la triade classique de la sécurité de l’information (CIA – Confidentiality, Integrity, Availability) en y ajoutant la résilience, notion empruntée au domaine de la continuité d’activité.

La confidentialité implique que seules les personnes habilitées accèdent aux données. L’intégrité garantit que les données ne sont pas alterees de manière non autorisée. La disponibilité assure l’accès aux données quand nécessaire. La résilience désigné la capacité des systèmes a continuer de fonctionner en cas de perturbation.

Ces exigences se traduisent par des mesures concrètes : contrôle d’accès base sur les rôles (RBAC), authentification forte (MFA), segmentation réseau, systèmes de détection d’intrusion et architectures redondantes.

C. Capacité de restauration (art. 32-1-c)

L’article 32 impose la capacité de rétablir la disponibilité des données dans des “délais appropriés” en cas d’incident. Cette exigence est devenue critique avec la multiplication des attaques par rançongiciel.

Concrètement, cela suppose la mise en place de sauvegardes régulières et testées, de plans de reprise d’activité (PRA) et de plans de continuité d’activité (PCA), avec des objectifs de temps de reprise (RTO) et de point de reprise (RPO) définis et documentés. Les sauvegardes doivent être isolées du réseau principal (air-gapped ou immutables) pour résister aux attaques destructrices.

D. Tests et évaluations régulières (art. 32-1-d)

Le quatrième pilier est sans doute le plus exigeant opérationnellement : il impose de tester régulièrement l’efficacité des mesures de sécurité. Une politique de sécurité qui n’est jamais testée ne satisfait pas aux exigences de l’article 32.

Cela inclut les tests d’intrusion (pentest) au moins annuels, les audits de sécurité internes et externes, les exercices de gestion de crise et de simulation d’incidents, les revues régulières des droits d’accès et les analysés de vulnérabilités automatisées. Un audit RGPD complet doit nécessairement intégrer un volet sécurité couvrant ces éléments.

III. L’approche par les risques : comment évaluer le niveau de sécurité requis

L’article 32 n’impose pas un niveau de sécurité uniforme. Il exige un niveau adapté au risque, ce qui suppose une évaluation préalable. Le paragraphe 2 precise d’ailleurs que cette évaluation doit tenir compte des risques de destruction, perte, altération ou divulgation non autorisée des données.

A. Méthodologie d’évaluation des risques

La démarche d’évaluation repose sur trois étapes :

1. Identification des actifs et des menaces. Il s’agit de recenser les données traitées, les systèmes impliqués et les menaces plausibles (attaque externe, erreur humaine, défaillance matérielle, acte malveillant interne).

2. Évaluation de la vraisemblance et de la gravité. Pour chaque scénario de risque, on évalué la probabilité de survenance et l’impact potentiel sur les personnes concernées. Les données de santé, les données financières ou les données de mineurs justifient un niveau d’exigence supérieur.

3. Determination des mesures proportionnées. Le texte mentionné explicitement “l’état des connaissances” et “les coûts de mise en oeuvre” comme critères de proportionnalité. Une startup de cinq personnes n’est pas tenue aux mêmes investissements qu’un groupe international, mais elle doit néanmoins mettre en oeuvre les mesures de base raisonnablement accessibles.

B. Les recommandations de la CNIL

La CNIL a publié un guide pratique de la sécurité des données personnelles, régulièrement mis à jour, qui constitue la référence opérationnelle pour les organisations établies en France. Ce guide identifie 17 thématiques de sécurité couvrant l’ensemble du cycle de vie des données.

Parmi les mesures que la CNIL considère comme incontournables figurent : la sensibilisation des utilisateurs, la gestion des authentifications et des habilitations, la sécurisation des postes de travail et de l’informatique mobile, la protection du réseau interne, la sécurisation des serveurs et des sites web, la gestion des sous-traitants, la sauvegarde et la continuité d’activité, ainsi que l’archivage sécurisé.

La CNIL a également insisté sur le fait que le recours à un sous-traitant ne décharge pas le responsable de traitement de ses obligations. Le contrat de sous-traitance doit contenir des clauses de sécurité précises conformément à l’article 28 du RGPD.

IV. Mesures techniques concrètes

A. Contrôle d’accès et gestion des identités

Le contrôle d’accès est la première ligne de défense. Chaque utilisateur doit disposer d’un identifiant unique. Les comptes generiques doivent être proscrits. L’authentification multifacteur (MFA) doit être déployée pour tout accès à des données personnelles sensibles ou en volume. Les droits d’accès doivent suivre le principe du moindre privilège et être revus périodiquement.

B. Chiffrement et protection des données

Le chiffrement doit être déployé à trois niveaux : en transit (TLS 1.3), au repos (AES-256 ou équivalent) et en sauvegarde. Les clés de chiffrement doivent faire l’objet d’une gestion rigoureuse avec rotation périodique. Les données sensibles doivent être chiffrées au niveau applicatif, et non uniquement au niveau du disque.

C. Journalisation et détection

La journalisation (logging) des accès et des opérations sur les données personnelles est essentielle pour la détection d’incidents et la conformité à l’article 33 du RGPD relatif à la notification des violations de données. Le déploiement de solutions de prévention des fuites de données (DLP) complète utilement la journalisation en permettant de bloquer les transmissions non autorisées de données sensibles avant qu’elles ne surviennent. Les journaux doivent être centralises, protégés contre la modification, conservés pendant une durée appropriée et analysés régulièrement. Un SIEM (Security Information and Event Management) constitue une bonne pratique pour les organisations traitant des volumes importants de données.

D. Sauvegardes et restauration

Les sauvegardes doivent respecter la règle 3-2-1 : trois copies, sur deux supports différents, dont une hors site. Elles doivent être chiffrées, testées régulièrement (restauration effective, pas seulement vérification d’intégrité) et isolées du réseau de production pour résister aux rançongiciels.

V. Mesures organisationnelles

La sécurité ne se réduit pas à la technique. L’article 32 visé explicitement les mesures organisationnelles, ce qui inclut plusieurs composantes.

A. Politiques de sécurité

Toute organisation doit formaliser une politique de sécurité des systèmes d’information (PSSI) couvrant l’ensemble des mesures techniques et organisationnelles. Cette politique doit être approuvée par la direction, diffusée auprès des collaborateurs et régulièrement actualisée. La rédaction d’une charte informatique conforme au RGPD constitue un prolongement opérationnel indispensable de cette PSSI.

B. Formation et sensibilisation

La CNIL place la sensibilisation des utilisateurs comme la première mesure de son guide de sécurité. Les programmes de formation doivent couvrir les risques de phishing, la gestion des mots de passe, la classification de l’information et les procédures de signalement d’incidents. Des campagnes de phishing simulées permettent de mesurer l’efficacité de cette sensibilisation.

C. Gestion des incidents

L’organisation doit disposer d’une procédure de gestion des incidents de sécurité permettant de détecter, qualifier, contenir et remédier aux incidents. Cette procédure doit s’articuler avec les obligations de notification de l’article 33 (notification à la CNIL sous 72 heures) et de l’article 34 (communication aux personnes concernées). Pour approfondir ce sujet, consultez notre guide sur les fuites de données sous le RGPD.

VI. Sanctions en cas de sécurité inadéquate

Le non-respect de l’article 32 expose à des sanctions administratives pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial (article 83-4-a du RGPD). En pratique, la CNIL a prononcé de nombreuses sanctions sur ce fondement :

• Dedalus Biologie : 1,5 million d’euros en 2022 pour une fuite de données médicales de près de 500 000 patients, liée à des défaillances de sécurité multiples (absence de chiffrement, défaut de contrôle d’accès, absence de procédure d’effacement).
• Doctissimo : 380 000 euros en 2023, notamment pour un manquement à la sécurité des données de santé des utilisateurs.
• Criteo : 40 millions d’euros en 2023, sanction incluant des manquements lies à la sécurité des traitements a grande échelle.
• Plusieurs PME et TPE : des sanctions allant de 5 000 à 150 000 euros pour des manquements élémentaires (mots de passe stockés en clair, absence de chiffrement HTTPS, défaut de sauvegarde).

Le schéma est constant : la CNIL sanctionne d’autant plus sévèrement que les mesures manquantes étaient basiques et que le volume ou la sensibilité des données était élevé.

VII. Articulation avec NIS2 et ISO 27001

L’article 32 ne fonctionne pas en vase clos. Il s’inscrit dans un écosystème normatif plus large.

A. La directive NIS2

La directive NIS2, entrée en application en 2024, impose des obligations de cybersécurité renforcées aux entités essentielles et importantes dans de nombreux secteurs. Pour les organisations soumises à la fois au RGPD et a NIS2, les exigences se recoupent largement : gestion des risques, notification des incidents, mesures techniques et organisationnelles. Une démarche de conformité intégrée permet d’éviter la duplication des efforts.

B. La norme ISO 27001

La certification ISO 27001 constitue un cadre de référence pour la mise en oeuvre d’un système de management de la sécurité de l’information (SMSI). Bien qu’elle ne soit pas obligatoire au titre du RGPD, elle offre une méthodologie structurée qui répond largement aux exigences de l’article 32. La CNIL elle-même encourage les organisations a s’appuyer sur des référentiels reconnus. Toutefois, la certification ISO 27001 ne vaut pas conformité automatique à l’article 32 : il faut s’assurer que le périmètre du SMSI couvre effectivement les traitements de données personnelles. L’extension ISO 27701 permet d’ajouter au SMSI un volet spécifique à la protection de la vie privée, renforçant ainsi la démonstration de conformité à l’article 32.

VIII. Le rôle du DPO dans la sécurité

Le délégué à la protection des données (DPO) joué un rôle central dans la mise en oeuvre de l’article 32, sans pour autant porter la responsabilité opérationnelle de la sécurité. Ses missions comprennent le conseil à la direction sur le niveau de sécurité requis, le suivi de la conformité des mesures de sécurité, la coordination avec le RSSI (responsable de la sécurité des systèmes d’information), la participation aux analysés d’impact (AIPD) qui comportent nécessairement un volet sécurité, et le suivi des incidents de sécurité impliquant des données personnelles.

Le DPO doit disposer des ressources et de l’accès nécessaires pour exercer efficacement cette mission. Dans les organisations de taille significative, une collaboration étroite entre le DPO et le RSSI est indispensable.

IX. Conclusion : une obligation vivante

L’article 32 du RGPD n’est pas une obligation statique. Il impose une démarche continue d’évaluation, de mise en oeuvre et de test des mesures de sécurité. L’état de l’art évolue, les menaces se transforment, et les mesures doivent suivre.

Pour les organisations qui souhaitent structurer et automatiser le suivi de leur conformité sécurité au titre de l’article 32, des outils comme Legiscope permettent de centraliser la gestion des mesures techniques et organisationnelles, de suivre les actions correctives et de documenter la conformité dans une logique d’amélioration continue.

La sécurité des données personnelles n’est plus une option ni un sujet purement technique : c’est une obligation juridique dont le non-respect expose à des sanctions financières lourdes et à un risque réputationnel considérable. L’article 32 en est la pierre angulaire.

FAQ

Quelles sont les mesures de sécurité minimales imposées par l’article 32 ?

L’article 32 cite quatre catégories de mesures : la pseudonymisation et le chiffrement, les moyens garantissant confidentialité/intégrité/disponibilité/résilience, la capacité de restauration des données en cas d’incident, et les procédures de test régulières. Le guide de la CNIL détaille 17 thématiques concrètes à mettre en oeuvre. Un audit RGPD permet d’évaluer votre niveau de conformité.

Le sous-traitant est-il aussi responsable de la sécurité des données ?

Oui, l’article 32 vise conjointement le responsable de traitement et le sous-traitant. Le sous-traitant à une obligation propre de sécurité, indépendante de celle du responsable de traitement. Le contrat de sous-traitance doit contenir des clauses de sécurité précises conformément à l’article 28 du RGPD.

Faut-il obligatoirement chiffrer les données personnelles ?

Le chiffrement n’est pas une obligation absolue mais une mesure à évaluer au regard des risques. En pratique, la CNIL considère que le chiffrement des communications (TLS 1.2 minimum), des sauvegardes et des bases de données sensibles est un standard minimal. Le stockage de mots de passe en clair constitue systématiquement un manquement.

Quelles sanctions en cas de sécurité insuffisante ?

Les sanctions peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial (article 83-4-a). La CNIL a déjà prononcé des amendes significatives : 1,5 million pour Dedalus Biologie, 40 millions pour Criteo. Les manquements aux mesures de base (mots de passe en clair, absence de HTTPS) sont sanctionnés d’autant plus sévèrement.

Comment l’article 32 s’articule-t-il avec la directive NIS2 ?

Les exigences de sécurité de l’article 32 et de NIS2 se recoupent largement. Pour les organisations soumises aux deux textes, une démarche intégrée permet d’éviter la duplication des efforts. La certification ISO 27001 constitue un cadre commun pour répondre simultanément aux deux réglementations.