Sécurité des données RGPD : mesures techniques Art. 32

L’Art. 32 RGPD impose au responsable de traitement et au sous-traitant de mettre en oeuvre des mesures de sécurité appropriées au risque. Ce n’est pas une obligation de résultat, mais une obligation de moyens qualifiée : les mesures doivent tenir compte de l’état de l’art, des coûts, de la nature du traitement et des risques. La CNIL a prononcé 21 sanctions pour défaut de sécurité des données RGPD entre 2018 et 2024, pour un montant total dépassant 100 millions d’euros.

Points Clés

• L’Art. 32 RGPD impose des mesures de sécurité « appropriées » en tenant compte de l’état de l’art, des coûts, de la nature du traitement et des risques pour les droits des personnes.
• Quatre mesures sont explicitement citées : pseudonymisation, chiffrement, résilience des systèmes et tests réguliers d’efficacité.
• Le défaut de sécurité est le motif de sanction le plus fréquent dans les décisions CNIL, souvent combiné avec d’autres manquements.
• L’obligation de sécurité s’impose tant au responsable de traitement qu’au sous-traitant (Art. 32(1) RGPD).
• L’analyse de risque est un prérequis : les mesures doivent être proportionnées au niveau de risque identifié pour chaque traitement.

Ce que l’Art. 32 RGPD exige

L’Art. 32(1) RGPD dispose :

« Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. »

Le texte identifie quatre facteurs d’évaluation :

État des connaissances (état de l’art) : les mesures de sécurité doivent refléter les pratiques technologiques actuelles. Un chiffrement AES-128 était acceptable en 2018 ; en 2026, l’AES-256 est le standard. L’utilisation de protocoles obsolètes (TLS 1.0, MD5, SHA-1) constitue un manquement.

Coûts de mise en oeuvre : le RGPD reconnaît que la sécurité a un coût. Toutefois, cela ne signifie pas qu’un organisme peut invoquer un budget limité pour justifier l’absence de mesures élémentaires. La CNIL a constamment rejeté cet argument pour des mesures de base (mots de passe, chiffrement, sauvegardes).

Nature, portée, contexte et finalités du traitement : un traitement de données de santé à grande échelle exige des mesures plus robustes qu’une liste de contacts commerciaux.

Risques pour les droits et libertés : l’évaluation doit couvrir les risques de confidentialité (accès non autorisé), d’intégrité (modification non souhaitée) et de disponibilité (perte de données).

Les quatre mesures explicites de l’Art. 32(1)

a) Pseudonymisation et chiffrement

L’Art. 32(1)(a) cite la pseudonymisation et le chiffrement comme mesures appropriées :

Pseudonymisation : remplacer les identifiants directs par des pseudonymes, en conservant la table de correspondance séparément. La CNIL recommande la pseudonymisation systématique des bases de données utilisées à des fins d’analyse ou de recherche.

Chiffrement : le chiffrement au repos (stockage) et en transit (communications) est une mesure de base. La CNIL considère que l’absence de chiffrement des données sensibles constitue un manquement à l’Art. 32. Les standards actuels : AES-256 pour le chiffrement symétrique, RSA-2048 ou courbes elliptiques pour le chiffrement asymétrique, TLS 1.2 minimum (TLS 1.3 recommandé) pour les communications.

b) Confidentialité, intégrité, disponibilité et résilience

L’Art. 32(1)(b) vise la capacité à garantir en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement.

Mesures concrètes :

• Contrôle d’accès : authentification forte (MFA), gestion des habilitations, revue périodique des droits
• Intégrité : mécanismes de détection de modification (hachage, signatures), journalisation des modifications
• Disponibilité : sauvegardes régulières, redondance des systèmes critiques, plan de continuité
• Résilience : capacité à maintenir les services en cas d’incident (architecture distribuée, basculement automatique)

c) Restauration des données

L’Art. 32(1)© impose la capacité de rétablir la disponibilité des données et l’accès aux données en temps utile en cas d’incident physique ou technique.

Cela suppose :

• Des sauvegardes régulières, testées et stockées dans un lieu séparé
• Un plan de reprise d’activité (PRA) documenté et testé
• Des délais de restauration (RTO) et des points de reprise (RPO) définis et cohérents avec la criticité des données

d) Tests réguliers

L’Art. 32(1)(d) impose des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles.

La CNIL et l’ANSSI recommandent :

• Des tests d’intrusion annuels sur les systèmes exposés
• Des audits de sécurité réguliers (internes ou externes)
• Des exercices de crise simulant des incidents de sécurité
• Des scans de vulnérabilité périodiques
• Une veille sur les vulnérabilités affectant les technologies utilisées

Analyse de risque : prérequis de l’Art. 32

L’Art. 32(2) RGPD précise que l’évaluation du niveau de sécurité approprié doit tenir compte des risques présentés par le traitement, « résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».

La méthodologie EBIOS Risk Manager, développée par l’ANSSI, est adaptée pour réaliser cette analyse. Elle peut être combinée avec la méthodologie PIA de la CNIL pour couvrir les aspects sécurité et protection des données dans le cadre d’une analyse d’impact (Art. 35 RGPD).

Sanctions CNIL pour défaut de sécurité

Le défaut de sécurité est le motif de sanction le plus récurrent dans les décisions de la CNIL :

CNIL, Délibération n°SAN-2022-022 du 29 décembre 2022 : Dedalus Biologie a reçu une amende de 1,5 million d’euros pour un défaut de sécurité ayant conduit à la fuite de données médicales de 500 000 patients. Les manquements identifiés : absence de chiffrement, absence d’effacement des données lors de la migration, absence de procédure d’authentification pour l’accès aux données, absence de journalisation des accès.

CNIL, Délibération n°SAN-2021-008 du 14 juin 2021 : la société BRICO PRIVE a reçu une amende de 500 000 euros pour un défaut de sécurité des mots de passe utilisateurs (stockage en MD5 sans sel) et une conservation excessive des données de cartes bancaires.

CNIL, Délibération n°SAN-2023-009 du 15 juin 2023 : Criteo a été sanctionné de 40 millions d’euros, incluant des manquements à la sécurité des données dans le cadre du ciblage publicitaire.

CNIL, Délibération n°SAN-2022-009 du 15 septembre 2022 : Infogreffe a reçu une amende de 250 000 euros pour avoir stocké les mots de passe de ses utilisateurs en clair et pour l’absence de politique d’expiration des mots de passe.

AEPD (Espagne), 2023 : La Poste espagnole (Correos) a été sanctionnée de 1,2 million d’euros pour un défaut de mesures de sécurité ayant permis un accès non autorisé aux données de millions de clients.

Mesures de sécurité minimales recommandées par la CNIL

La CNIL a publié un guide des mesures de sécurité de base que tout organisme doit mettre en oeuvre :

Authentification : mots de passe d’au moins 12 caractères incluant majuscules, minuscules, chiffres et caractères spéciaux, ou utilisation de l’authentification multifacteur (MFA). Pas de stockage en clair.

Gestion des habilitations : principe du moindre privilège, revue des droits au moins annuelle, suppression immédiate des accès lors du départ d’un collaborateur.

Journalisation : traçabilité des accès aux données personnelles, conservation des journaux pendant une durée appropriée (6 mois recommandés par la CNIL), protection des journaux contre la modification.

Sécurité des postes de travail : chiffrement des disques, mise à jour automatique des systèmes et logiciels, antivirus, verrouillage automatique.

Sécurité réseau : pare-feu, segmentation réseau, VPN pour les accès distants, détection d’intrusion.

Sauvegardes : régulières, chiffrées, testées, stockées hors site.

FAQ

L’Art. 32 impose-t-il des mesures spécifiques ou laisse-t-il un choix ?

L’Art. 32 cite quatre catégories de mesures (pseudonymisation/chiffrement, confidentialité/intégrité/disponibilité/résilience, restauration, tests) mais laisse au responsable et au sous-traitant le soin de déterminer les mesures concrètes appropriées en fonction de l’analyse de risque. Il ne prescrit pas de standard technique précis, mais les recommandations de la CNIL et de l’ANSSI servent de référentiel en France.

Un organisme peut-il être sanctionné même sans violation de données ?

Oui. L’Art. 32 impose une obligation de moyens indépendante de la survenance d’un incident. La CNIL peut sanctionner un défaut de sécurité constaté lors d’un contrôle, même si aucune violation de données n’a eu lieu. L’amende contre Infogreffe (250 000 euros pour stockage de mots de passe en clair) illustre cette approche : la sanction vise l’insuffisance des mesures, pas une fuite.

Comment l’état de l’art est-il défini pour les mesures de sécurité ?

L’état de l’art n’est pas défini par le RGPD. En pratique, il est apprécié au regard des normes et référentiels reconnus : ISO 27001/27002, recommandations ANSSI, guides CNIL, publications ENISA. L’utilisation de protocoles, algorithmes ou configurations obsolètes (TLS 1.0, MD5, mots de passe faibles) est systématiquement qualifiée de manquement.

Le sous-traitant a-t-il une obligation de sécurité propre ?

Oui. L’Art. 32(1) RGPD vise explicitement « le responsable du traitement et le sous-traitant ». Le sous-traitant est tenu de mettre en oeuvre des mesures de sécurité appropriées indépendamment des instructions du responsable. La sanction de Dedalus Biologie (1,5 million d’euros) confirme que le sous-traitant est directement responsable de ses propres défaillances de sécurité.