Article 32 RGPD : mesures techniques obligatoires pour protéger les données
L'article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en œuvre "des mesures techniques et organisationnelles appropriées" pour garantir un niveau de sécurité adapté au risque. Ce texte volontairement général est à l'origine de plus de 40 % des sanctions CNIL liées à la sécurité. Décryptage pratique de ce qu'il exige réellement.
Ce que dit exactement l'article 32
"Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques."
— Article 32.1, RGPD
Le texte cite quatre mesures à titre d'exemple (liste non exhaustive) :
Les mesures techniques attendues en pratique
La CNIL et les autorités européennes ont progressivement précisé leurs attentes. Ces mesures sont désormais considérées comme minimales pour tout traitement de données personnelles :
Chiffrement des données
Chiffrement des bases de données contenant des données personnelles (AES-256 minimum), chiffrement des sauvegardes, chiffrement des données en transit (TLS 1.2+), chiffrement des terminaux (BitLocker, FileVault). La CNIL sanctionne régulièrement l'absence de chiffrement des données sensibles.
Gestion des accès et authentification forte
Principe du moindre privilège (comptes avec uniquement les droits nécessaires), MFA sur tous les accès aux données personnelles (notamment les comptes admin et accès à distance), revue régulière des droits d'accès, suppression immédiate des accès lors des départs.
Pseudonymisation quand possible
Remplacer les identifiants directs par des pseudonymes dans les traitements analytiques. Les données pseudonymisées restent des données personnelles mais leur sécurisation est plus facile. La pseudonymisation réduit le risque résiduel en cas de violation.
Sauvegardes et plan de reprise
Sauvegardes régulières testées (règle 3-2-1 minimum), RPO et RTO définis, tests de restauration au moins annuels. La perte irrémédiable de données personnelles par absence de sauvegarde constitue une violation de l'article 32.
Journalisation et détection des accès
Logs d'accès aux données personnelles conservés (qui a accédé, quand, depuis où), alertes sur les comportements anormaux (accès massif, exfiltration), centralisation dans un SIEM pour les traitements sensibles.
Tests de sécurité réguliers
L'article 32.1.d impose des 'processus de test, d'évaluation et d'appréciation régulière'. En pratique : scan de vulnérabilités trimestriel, audit de sécurité annuel, pentest tous les 2-3 ans selon le niveau de risque et les données traitées.
Ce que la CNIL vérifie lors de ses contrôles
En 2025-2026, la CNIL a intensifié ses contrôles sur la sécurité technique. Les vérifications portent typiquement sur :
Sanctions récentes : La CNIL a sanctionné des entreprises pour stockage de mots de passe en clair (500 000 €), absence de chiffrement des données de santé (1,5 M€), maintien d'accès après départ de salariés (250 000 €). La sécurité insuffisante est systématiquement un facteur aggravant lors d'une violation de données notifiée.
Démontrer la conformité à l'article 32 (accountability)
Le RGPD repose sur le principe d'accountability : c'est à vous de prouver que vos mesures sont appropriées. Les preuves acceptées par la CNIL incluent :
Idéalement moins de 2 ans, avec plan de remédiation suivi et justifications des points non corrigés
Approuvée par la direction, communiquée aux équipes, mise à jour régulièrement
Obligatoire pour les traitements à risque élevé, avec mesures proportionnées au risque identifié
Même les incidents mineurs non notifiés, avec les mesures prises et les raisons de la non-notification CNIL
Avec les clauses de sécurité, de droit d'audit et de notification des violations
Attestations de formations à la sécurité et au RGPD, résultats des tests de phishing internes
Évaluez votre conformité à l'article 32 RGPD
Nos auditeurs réalisent une évaluation technique et organisationnelle de vos mesures de sécurité au regard de l'article 32 RGPD : identification des manquements, production d'un rapport utilisable comme preuve d'accountability, plan de remédiation priorisé.
Demander un audit RGPD article 32