En une phrase. L’article 32 RGPD requiert que les responsables et sous-traitants mettent en œuvre des mesures techniques et organisationnelles (MTO) appropriées pour garantir un niveau de sécurité adapté au risque, incluant (a) pseudonymisation et chiffrement, (b) confidentialité/intégrité/disponibilité/résilience continues, © capacité de restauration après incident, (d) tests et évaluation régulières. Le standard est proportionné au risque — pas de checklist figée — mais l’EDPB et la CNIL ont publié des guidances progressivement détaillées rendant le plancher pratique mesurable.
L’article 32 est la disposition RGPD la plus fréquemment invoquée dans les notifications de violation. Quand une violation survient, la première question est toujours : les mesures de sécurité étaient-elles appropriées ? Si oui, la violation est un malheur. Si non, c’est de la négligence — et une sanction séparée.
Pour les obligations de notification de violation, voir article 33 RGPD. Pour les obligations connexes : PSSI, guide hygiène ANSSI.
Points clés
- L’article 32 §1 énumère quatre mesures illustratives : pseudonymisation/chiffrement, CID + résilience continues, capacité de restauration, tests réguliers.
- Le standard est approprié au risque — proportionné, pas « meilleur possible ».
- L’article 32 §2 requiert la prise en compte des risques de destruction, perte, altération, divulgation non autorisée.
- L’article 32 §4 requiert du responsable qu’il s’assure que toute personne avec accès traite les données uniquement sur instructions.
- ISO 27001/27701 + recommandations ANSSI fournissent le plancher pratique.
1. Texte de l’article 32 — les quatre mesures illustratives
L’article 32 §1 énumère les mesures techniques et organisationnelles selon le cas :
- (a) Pseudonymisation et chiffrement des données à caractère personnel
- (b) Moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement
- © Moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
- (d) Une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des MTO
2. Proportionné au risque — ce que cela signifie
Le niveau de sécurité doit être approprié à :
- L’état des connaissances
- Les coûts de mise en œuvre
- La nature, la portée, le contexte, les finalités du traitement
- Le risque, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques
Traduction :
- Traitement de 50 emails clients pour un petit e-commerce → mesures basiques (HTTPS, MFA admin, backups chiffrés)
- Traitement de 10M dossiers de santé pour un hôpital → enterprise-grade (chiffrement avec clés HSM, ISO 27001 certifié, SOC 24/7, tests d’intrusion annuels)
3. Plancher pratique : la référence consensus
Pour toute organisation traitant des données personnelles, indépendamment de la taille, le plancher pratique accepté par les autorités UE :
| Domaine | Mesure minimale |
|---|---|
| Chiffrement en transit | TLS 1.2 minimum (TLS 1.3 préféré) |
| Chiffrement au repos | AES-256 pour les données sensibles |
| Authentification | MFA obligatoire pour accès admin et distant |
| Contrôle d’accès | Basé sur les rôles, moindre privilège, revue périodique |
| Journalisation | Accès aux données sensibles journalisé, logs conservés ≥1 an |
| Gestion des correctifs | Correctifs de sécurité appliqués dans un SLA raisonnable |
| Sauvegardes | Restauration testée, conservées ≥30 jours, isolées |
| Réponse à incident | Playbook documenté, notification de violation sous 72h |
| Sécurité fournisseur | DPA + due diligence (ISO 27001, SOC 2) |
| Sensibilisation | Formation sécurité annuelle documentée |
Sous ce plancher → présomption de violation de l’article 32.
4. Chiffrement — la mesure la plus citée
L’article 32 §1(a) nomme explicitement le chiffrement. La CNIL et l’EDPB considèrent le chiffrement comme « état de l’art » — ne pas chiffrer des données sensibles quand la technologie est largement disponible est généralement traité comme une sécurité inadéquate.
| Classe de données | Attente de chiffrement |
|---|---|
| Identifiants d’authentification | Hashés (bcrypt, argon2) |
| Données de catégorie particulière (santé, biométrie) | Chiffrement au repos obligatoire |
| Données financières / paiement | Chiffrement au repos obligatoire + PCI DSS |
| Données personnelles générales | Chiffrement au repos fortement attendu |
| Sauvegardes | Chiffrement au repos obligatoire |
| Données en transit | TLS 1.2+ universel |
5. Pseudonymisation — la mesure sous-utilisée
La pseudonymisation (article 4(5)) signifie le traitement des données de manière qu’elles ne puissent plus être attribuées à une personne sans informations supplémentaires conservées séparément.
Pour approfondir : guide pseudonymisation.
6. Tests réguliers (article 32 §1(d))
La capacité de vérifier l’efficacité des MTO dans le temps. Implémentations pratiques :
- Tests d’intrusion : annuels minimum, plus pour les hauts risques
- Scans de vulnérabilité : continus
- Revue d’accès : trimestrielle minimum
- Test de restauration de sauvegarde : mensuel
- Exercice de réponse à incident : annuel table-top
- Audit interne : annuel
7. Article 32 §4 — instructions au personnel
L’article 32 §4 requiert du responsable qu’il s’assure que toute personne physique sous son autorité ayant accès aux données personnelles ne les traite que sur instruction du responsable.
Traduction :
- Charte d’usage signée par les employés
- Procédures de traitement de données documentées
- Formation sur ce qui est autorisé
- Sanctions pour traitement non autorisé
8. Alignement ISO 27001 et ISO 27701
- ISO 27001 : management de la sécurité de l’information — étroitement aligné avec l’article 32
- ISO 27701 : management de la confidentialité — extension de 27001 couvrant le RGPD spécifiquement
- La certification ne prouve pas automatiquement la conformité à l’article 32 mais est un signal fort dans les audits
Pour la comparaison complète, voir ISO 27001 vs RGPD.
9. Sanctions pour violations de l’article 32
| Année | Sanction | Insuffisance article 32 |
|---|---|---|
| 2019 | British Airways (ICO) — £20M | Pas de MFA, segmentation réseau faible |
| 2020 | Marriott (ICO) — £18.4M | Due diligence inadéquate sur l’IT acquis Starwood |
| 2022 | Hôpital de Bourges (CNIL) — 60K€ | Données de santé sans chiffrement adéquat |
| 2023 | Optical Center (CNIL) — 250K€ | Base de données non chiffrée accessible depuis Internet |
| 2024 | Plusieurs SaaS (CNIL) — 50K€-500K€ | Divers — pas de MFA, pas de logs d’accès |
L’article 83 §4(a) place les violations de l’article 32 dans le niveau d’amende inférieur — jusqu’à 10M€ ou 2 % du chiffre d’affaires annuel mondial.
10. Checklist d’implémentation
- ☐ Évaluation des risques documentée par activité de traitement
- ☐ MTO documentées dans l’annexe du registre
- ☐ Chiffrement : au repos (AES-256), en transit (TLS 1.2+), dans les sauvegardes
- ☐ MFA obligatoire pour admin + comptes sensibles
- ☐ Logs d’accès pour données sensibles, conservés ≥1 an
- ☐ SLA de gestion des correctifs documenté et respecté
- ☐ Sauvegarde avec restauration testée
- ☐ Playbook de réponse à incident + processus de notification 72h
- ☐ Test d’intrusion annuel conduit
- ☐ Revue d’accès trimestrielle
- ☐ Formation sécurité annuelle pour tout le personnel
- ☐ Charte d’usage signée par les employés (article 32 §4)
- ☐ DPA fournisseur + due diligence (ISO 27001 / SOC 2)
11. Outillage
Legiscope maintient la documentation des MTO parallèlement au registre, alerte sur les mesures manquantes par activité de traitement et s’intègre avec les questionnaires de sécurité fournisseur.
Pour approfondir : article 33 RGPD, guide PSSI, guide hygiène ANSSI, ISO 27001 vs RGPD.
Conclusion
L’article 32 est proportionné au risque mais pas optionnel. Le plancher pratique — TLS, MFA, chiffrement, logs, sauvegardes, tests — est atteignable pour toute organisation. Les sanctions de l’article 32 arrivent après qu’une violation a exposé une sécurité inadéquate ; construire des mesures proportionnées avant est nettement moins cher qu’après.
FAQ
Que requiert l’article 32 RGPD ?
Des mesures techniques et organisationnelles appropriées pour garantir la sécurité du traitement — proportionnées au risque. Les mesures illustratives incluent pseudonymisation, chiffrement, confidentialité/intégrité/disponibilité/résilience continues, capacité de restauration, et tests réguliers.
Le chiffrement est-il obligatoire sous le RGPD ?
L’article 32 §1(a) liste le chiffrement comme exemple de mesure appropriée. Bien que non strictement obligatoire, l’EDPB considère le chiffrement comme état de l’art — ne pas chiffrer des données sensibles est généralement traité comme sécurité inadéquate.
Quel est le plancher de sécurité pratique pour une petite entreprise ?
TLS 1.2+ pour tout le trafic, MFA sur comptes admin, sauvegardes chiffrées, journalisation des accès, réponse à incident documentée, formation sécurité annuelle, due diligence fournisseur avec DPA signés.
À quelle fréquence dois-je tester les mesures de sécurité ?
L’article 32 §1(d) requiert des tests « réguliers » — typiquement tests d’intrusion annuels, tests de restauration mensuels, revues d’accès trimestrielles, scans de vulnérabilité continus.
Une certification ISO 27001 satisfait-elle à l’article 32 ?
C’est un signal fort mais pas une conformité automatique. L’ISO 27001 couvre beaucoup de contrôles de l’article 32. L’ISO 27701 l’étend pour la confidentialité spécifiquement. La CNIL évalue toujours l’implémentation réelle, surtout dans les contextes de violation.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial