Retour aux actualités
    RGPD

    Article 32 RGPD : mesures techniques obligatoires pour protéger les données

    L'article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en œuvre "des mesures techniques et organisationnelles appropriées" pour garantir un niveau de sécurité adapté au risque. Ce texte volontairement général est à l'origine de plus de 40 % des sanctions CNIL liées à la sécurité. Décryptage pratique de ce qu'il exige réellement.

    Ce que dit exactement l'article 32

    "Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques."

    — Article 32.1, RGPD

    Le texte cite quatre mesures à titre d'exemple (liste non exhaustive) :

    Pseudonymisation et chiffrement des données personnelles
    Moyens assurant la confidentialité, intégrité, disponibilité et résilience des systèmes
    Capacité à rétablir la disponibilité des données en cas d'incident (PRA)
    Processus de test, d'évaluation et d'appréciation régulière de l'efficacité des mesures

    Les mesures techniques attendues en pratique

    La CNIL et les autorités européennes ont progressivement précisé leurs attentes. Ces mesures sont désormais considérées comme minimales pour tout traitement de données personnelles :

    Chiffrement des données

    Chiffrement des bases de données contenant des données personnelles (AES-256 minimum), chiffrement des sauvegardes, chiffrement des données en transit (TLS 1.2+), chiffrement des terminaux (BitLocker, FileVault). La CNIL sanctionne régulièrement l'absence de chiffrement des données sensibles.

    Gestion des accès et authentification forte

    Principe du moindre privilège (comptes avec uniquement les droits nécessaires), MFA sur tous les accès aux données personnelles (notamment les comptes admin et accès à distance), revue régulière des droits d'accès, suppression immédiate des accès lors des départs.

    Pseudonymisation quand possible

    Remplacer les identifiants directs par des pseudonymes dans les traitements analytiques. Les données pseudonymisées restent des données personnelles mais leur sécurisation est plus facile. La pseudonymisation réduit le risque résiduel en cas de violation.

    Sauvegardes et plan de reprise

    Sauvegardes régulières testées (règle 3-2-1 minimum), RPO et RTO définis, tests de restauration au moins annuels. La perte irrémédiable de données personnelles par absence de sauvegarde constitue une violation de l'article 32.

    Journalisation et détection des accès

    Logs d'accès aux données personnelles conservés (qui a accédé, quand, depuis où), alertes sur les comportements anormaux (accès massif, exfiltration), centralisation dans un SIEM pour les traitements sensibles.

    Tests de sécurité réguliers

    L'article 32.1.d impose des 'processus de test, d'évaluation et d'appréciation régulière'. En pratique : scan de vulnérabilités trimestriel, audit de sécurité annuel, pentest tous les 2-3 ans selon le niveau de risque et les données traitées.

    Ce que la CNIL vérifie lors de ses contrôles

    En 2025-2026, la CNIL a intensifié ses contrôles sur la sécurité technique. Les vérifications portent typiquement sur :

    Politique de mots de passe (longueur, complexité, renouvellement)
    Présence ou absence de MFA sur les accès sensibles
    Chiffrement des données en base de données et en transit
    Durée de conservation effective vs politique déclarée
    Procédure de gestion et notification des violations de données
    Contrats avec les sous-traitants (clauses RGPD article 28)
    Registre des traitements et sa complétude
    Formation et sensibilisation des équipes

    Sanctions récentes : La CNIL a sanctionné des entreprises pour stockage de mots de passe en clair (500 000 €), absence de chiffrement des données de santé (1,5 M€), maintien d'accès après départ de salariés (250 000 €). La sécurité insuffisante est systématiquement un facteur aggravant lors d'une violation de données notifiée.

    Démontrer la conformité à l'article 32 (accountability)

    Le RGPD repose sur le principe d'accountability : c'est à vous de prouver que vos mesures sont appropriées. Les preuves acceptées par la CNIL incluent :

    Rapport d'audit de sécurité ou de pentest récent

    Idéalement moins de 2 ans, avec plan de remédiation suivi et justifications des points non corrigés

    Politique de sécurité des SI (PSSI) documentée

    Approuvée par la direction, communiquée aux équipes, mise à jour régulièrement

    Analyse d'impact relative à la protection des données (AIPD)

    Obligatoire pour les traitements à risque élevé, avec mesures proportionnées au risque identifié

    Registre des incidents de sécurité

    Même les incidents mineurs non notifiés, avec les mesures prises et les raisons de la non-notification CNIL

    Contrats sous-traitants conformes article 28

    Avec les clauses de sécurité, de droit d'audit et de notification des violations

    Preuves de formation et sensibilisation des équipes

    Attestations de formations à la sécurité et au RGPD, résultats des tests de phishing internes

    Évaluez votre conformité à l'article 32 RGPD

    Nos auditeurs réalisent une évaluation technique et organisationnelle de vos mesures de sécurité au regard de l'article 32 RGPD : identification des manquements, production d'un rapport utilisable comme preuve d'accountability, plan de remédiation priorisé.

    Demander un audit RGPD article 32

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.