L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en oeuvre des “mesures techniques et organisationnelles appropriees afin de garantir un niveau de securite adapte au risque”. Cette formulation, volontairement generique, laisse aux organisations une marge d’appreciation considerable. C’est la CNIL qui, par ses recommandations, ses guidelines et surtout ses decisions de sanction, donne un contenu concret a cette obligation. Cet article synthetise l’ensemble des exigences de securite telles qu’elles ressortent de la doctrine et de la pratique de la CNIL, organisees par domaine technique.

I. Le cadre juridique : l’article 32 du RGPD

A. Le principe de securite adaptee au risque

L’article 32 du RGPD n’impose pas un catalogue fixe de mesures de securite. Il exige que les mesures soient “appropriees” compte tenu de “l’etat des connaissances, des couts de mise en oeuvre et de la nature, de la portee, du contexte et des finalites du traitement ainsi que des risques, dont le degre de probabilite et de gravite varie, pour les droits et libertes des personnes physiques”.

Cette approche par les risques signifie que le niveau de securite exige n’est pas le meme pour tous les traitements. Le traitement de donnees de sante ou de donnees judiciaires appelle des mesures plus strictes que le traitement d’un fichier de contacts professionnels. Toutefois, un socle minimal de mesures s’impose dans tous les cas, comme le demontre la pratique de la CNIL.

L’article 32 cite explicitement quatre categories de mesures “selon les besoins” :

1. La pseudonymisation et le chiffrement des donnees
2. Les moyens permettant de garantir la confidentialite, l’integrite, la disponibilite et la resilience des systemes
3. Les moyens permettant de retablir la disponibilite des donnees en cas d’incident
4. Une procedure visant a tester, analyser et evaluer regulierement l’efficacite des mesures

Pour une analyse complete de l’article 32 et de ses implications, une lecture croisee avec les lignes directrices du Comite europeen de la protection des donnees (EDPB) s’impose.

B. L’obligation de moyens renforcee

L’obligation de securite du RGPD est une obligation de moyens – l’organisation n’est pas tenue de garantir une securite absolue – mais c’est une obligation de moyens renforcee. La CNIL sanctionne les organisations qui n’ont pas mis en oeuvre les mesures “elementaires” de securite, meme lorsqu’aucune violation de donnees n’a ete constatee. L’absence de mesures basiques constitue en soi un manquement, independamment de la survenance d’un incident.

II. Les mesures de securite par domaine

A. Gestion des acces et authentification

La gestion des acces est le domaine le plus frequemment examine par la CNIL dans ses controles et le plus souvent sanctionne en cas de defaillance.

Exigences minimales identifiees par la CNIL :

• Comptes individuels : chaque utilisateur doit disposer d’un compte nominatif. L’utilisation de comptes partages est proscrite pour les acces aux donnees personnelles. La CNIL a sanctionne a plusieurs reprises des organisations utilisant des identifiants generiques partages entre plusieurs salaries.
• Politique de mots de passe : la CNIL a publie sa recommandation du 17 octobre 2022 relative aux mots de passe. Elle impose des exigences differenciees selon le contexte : au minimum 12 caracteres avec complexite, ou 8 caracteres avec mesure complementaire (restriction de tentatives, CAPTCHA). Pour les comptes privilegies, les exigences sont renforcees.
• Authentification multifacteur (MFA) : la CNIL considere de plus en plus la MFA comme une mesure elementaire pour les acces privilegies, les acces distants et les traitements de donnees sensibles. Plusieurs sanctions font reference a l’absence de MFA comme facteur aggravant.
• Principe du moindre privilege : les droits d’acces doivent etre strictement limites aux besoins fonctionnels de chaque utilisateur. La CNIL sanctionne les organisations ou l’ensemble des employes ont acces a l’integralite des donnees clients sans justification.
• Revue periodique des droits : les habilitations doivent etre revisees regulierement, et les comptes des collaborateurs ayant quitte l’organisation doivent etre desactives sans delai.

Le RSSI est generalement le pilote de la politique de gestion des acces, en coordination avec la DSI et les directions metiers.

B. Chiffrement des donnees

Le chiffrement est cite explicitement a l’article 32 du RGPD comme mesure de securite. La CNIL en fait un element central de sa doctrine.

Chiffrement en transit : l’utilisation de protocoles securises (TLS 1.2 minimum, idealement TLS 1.3) est une exigence de base pour toute transmission de donnees personnelles sur un reseau. La CNIL a sanctionne des organisations transmettant des donnees de sante en clair sur internet. L’ANSSI publie des recommandations detaillees sur la configuration TLS.

Chiffrement au repos : le chiffrement des bases de donnees et des supports de stockage contenant des donnees personnelles est recommande par la CNIL, et considere comme obligatoire pour les donnees sensibles (sante, donnees biometriques, infractions). Les obligations en matiere de chiffrement sont detaillees dans notre guide dedie.

Chiffrement des sauvegardes : les sauvegardes contenant des donnees personnelles doivent etre chiffrees, en particulier lorsqu’elles sont stockees sur des supports amovibles ou dans le cloud.

Gestion des cles : la robustesse du chiffrement depend de la qualite de la gestion des cles cryptographiques. Les cles doivent etre stockees separement des donnees chiffrees, leur acces doit etre restreint, et elles doivent etre renouvelees selon une periodicite definie.

C. Journalisation et tracabilite

La CNIL exige que les acces aux donnees personnelles soient traces de maniere a pouvoir detecter les acces anormaux et reconstituer les evenements en cas d’incident.

Exigences :

• Journalisation des acces aux applications contenant des donnees personnelles (qui, quand, quelle action).
• Conservation des logs pendant une duree appropriee (6 mois a 1 an est la pratique courante).
• Protection de l’integrite des logs contre la modification ou la suppression.
• Analyse reguliere des logs pour detecter les anomalies.
• Mise en place d’alertes sur les evenements critiques (tentatives de connexion echouees massives, acces en dehors des horaires habituels, telechargements volumineux).

La journalisation est un element cle de la gestion des incidents de securite et constitue un prerequis pour tout audit de securite informatique efficace.

D. Securite des developpements

La CNIL accorde une attention croissante a la securite des applications et des developpements logiciels, en particulier pour les services en ligne et les applications mobiles.

Exigences identifiees :

• Security by design : integration de la securite des le stade de la conception (article 25 du RGPD – protection des donnees des la conception).
• Validation des entrees : protection contre les injections SQL, les failles XSS, et les autres vulnerabilites applicatives courantes.
• Gestion des sessions : duree de session limitee, regeneration des identifiants de session, protection contre le vol de session.
• Tests de securite : realisation de tests de penetration avant la mise en production et apres chaque modification significative.
• Gestion des correctifs : application des mises a jour de securite dans des delais raisonnables. La CNIL a sanctionne des organisations utilisant des composants logiciels obsoletes presentant des vulnerabilites connues.

E. Securite physique et environnementale

La securite physique des locaux et des equipements fait partie integrante des mesures exigees.

• Controle d’acces physique aux locaux hebergeant les serveurs et les equipements de traitement.
• Protection contre les risques environnementaux (incendie, inondation, coupure electrique).
• Politique de bureau propre (clean desk) : interdiction de laisser des documents contenant des donnees personnelles accessibles sans surveillance.
• Securisation des postes de travail : verrouillage automatique, chiffrement des disques durs, en particulier pour les ordinateurs portables.

F. Sauvegarde et continuite

La capacite a restaurer les donnees en cas d’incident est une exigence explicite de l’article 32.

• Strategie de sauvegarde : sauvegardes regulieres (quotidiennes pour les donnees critiques), avec conservation de plusieurs generations.
• Tests de restauration : les sauvegardes doivent etre testees periodiquement pour verifier leur integrite et la capacite effective de restauration. La CNIL a releve dans plusieurs deliberations l’absence de tests de restauration comme un manquement.
• Separation des sauvegardes : les copies de sauvegarde doivent etre stockees sur des supports ou dans des sites distincts des systemes de production, afin de resister aux attaques par rancongiciel.
• Plan de continuite et de reprise : pour les traitements critiques, un plan de continuite d’activite (PCA) et un plan de reprise d’activite (PRA) doivent etre definis et testes.

III. Les mesures organisationnelles

A. La politique de securite

La CNIL attend de toute organisation traitant des donnees personnelles qu’elle dispose d’une politique de securite des systemes d’information (PSSI) formalisee, approuvee par la direction, communiquee a l’ensemble des collaborateurs et revisee periodiquement.

Cette politique doit couvrir au minimum : la gouvernance de la securite, la gestion des acces, la classification de l’information, la gestion des incidents, la securite des tiers, la securite physique, et la gestion de la continuite.

B. La sensibilisation des collaborateurs

La CNIL fait de la sensibilisation un pilier de la conformite. L’absence de programme de sensibilisation est systematiquement relevee lors des controles comme un manquement a l’obligation de securite. Le programme doit couvrir les regles d’utilisation des systemes d’information, la reconnaissance des tentatives de phishing, les procedures de signalement d’incident, et les regles specifiques applicables aux donnees personnelles.

C. La gestion des sous-traitants

Le recours a des sous-traitants traitant des donnees personnelles impose des obligations specifiques (article 28 du RGPD). La CNIL verifie :

• L’existence d’un contrat de sous-traitance conforme a l’article 28.
• L’evaluation prealable des garanties de securite du sous-traitant.
• La mise en oeuvre d’un suivi continu, incluant des audits periodiques. La conduite d’un audit RGPD des sous-traitants est recommandee.

D. La gestion des violations de donnees

La CNIL controle la capacite de l’organisation a detecter, qualifier et gerer les violations de donnees personnelles. La procedure en cas de fuite de donnees doit etre formalisee, connue des equipes et testee. Elle doit couvrir la detection, la qualification, la notification aux autorites et aux personnes concernees, la remediation et le retour d’experience.

IV. L’approche de la CNIL en matiere de sanctions

A. Les manquements les plus frequemment sanctionnes

L’analyse des deliberations de sanction de la CNIL revele les manquements de securite les plus couramment sanctionnes :

1. Defaut de chiffrement : donnees transmises en clair, mots de passe stockes en clair ou avec un algorithme obsolete (MD5, SHA-1 sans sel).
2. Politique de mots de passe insuffisante : mots de passe trop courts, absence de complexite, pas de renouvellement.
3. Gestion des acces defaillante : comptes partages, droits excessifs, absence de revue des habilitations, comptes d’anciens collaborateurs non desactives.
4. Absence de journalisation : pas de trace des acces aux donnees, impossibilite de detecter ou de reconstituer un incident.
5. Composants obsoletes : utilisation de logiciels en fin de vie (Windows XP, PHP non supporte) presentant des vulnerabilites connues et non corrigees.

B. La proportionnalite des sanctions

Le montant des sanctions est proportionnel a la gravite du manquement, au volume de donnees concernees, a la sensibilite des donnees et a la taille de l’organisation. Les sanctions pour defaut de securite representent une part croissante de l’activite repressive de la CNIL. Les amendes vont de quelques dizaines de milliers d’euros pour des PME a plusieurs millions pour des grandes organisations.

La conformite NIS2 renforce encore ces exigences pour les entites concernees. Les sanctions NIS2 se superposent au risque RGPD, ce qui amplifie considerablement l’exposition financiere des organisations en defaut de securite.

V. Recommandations pratiques

A. Priorites d’action

Pour les organisations souhaitant se mettre en conformite avec les attentes de la CNIL, les priorites d’action sont les suivantes :

1. Realiser un audit de l’existant : cartographier les mesures de securite en place et les comparer aux exigences de la CNIL. Un audit de securite informatique dedie est le point de depart indispensable.
2. Corriger les manquements elementaires : les defauts de chiffrement, de gestion des mots de passe et de gestion des acces doivent etre corriges en priorite, car ils sont les plus frequemment sanctionnes.
3. Formaliser la documentation : politique de securite, procedures de gestion des incidents, registre des violations, contrats de sous-traitance.
4. Mettre en oeuvre la journalisation : deployer une solution de collecte et d’analyse des logs sur les systemes traitant des donnees personnelles.
5. Former les equipes : deployer un programme de sensibilisation couvrant les obligations RGPD et les bonnes pratiques de securite.

B. Referentiels et ressources

La CNIL publie un guide de la securite des donnees personnelles, regulierement actualise, qui constitue le referentiel de base. L’ANSSI publie des guides techniques complementaires sur le chiffrement, la gestion des acces, la journalisation et la configuration securisee des systemes. La norme ISO 27001 fournit un cadre structurant pour le systeme de management de la securite. Au niveau europeen, l’ENISA publie des guidelines sectorielles qui completent utilement ces referentiels.

La checklist de conformite NIS2 peut egalement servir de base pour structurer les mesures de securite, les exigences NIS2 et RGPD etant largement convergentes en matiere de securite.

FAQ

La CNIL peut-elle sanctionner un defaut de securite meme en l’absence de violation de donnees ?

Oui. La CNIL peut sanctionner un manquement a l’obligation de securite de l’article 32 du RGPD independamment de la survenance d’une violation de donnees. L’obligation de securite est une obligation de moyens : elle impose de mettre en oeuvre des mesures appropriees, et l’absence de ces mesures constitue un manquement en soi, meme si aucun incident ne s’est produit. La CNIL a prononce plusieurs sanctions sur ce seul fondement, a la suite de controles ayant revele des failles de securite non exploitees.

Quelles mesures de securite la CNIL considere-t-elle comme “elementaires” ?

La CNIL qualifie d’elementaires les mesures suivantes, dont l’absence est systematiquement sanctionnee : comptes utilisateurs individuels et non partages, politique de mots de passe robuste, chiffrement des donnees en transit (TLS), stockage securise des mots de passe (algorithmes de hachage adaptes avec sel), gestion des habilitations avec revue periodique, journalisation des acces, mise a jour des composants logiciels, et sauvegardes regulieres. Ces mesures constituent le socle minimal, independamment de la taille de l’organisation ou de la sensibilite des donnees.

L’obtention de la certification ISO 27001 suffit-elle a satisfaire les exigences RGPD ?

Non. La certification ISO 27001 demontre la maturite du systeme de management de la securite, mais elle ne couvre pas l’ensemble des exigences du RGPD en matiere de securite. Le RGPD impose des obligations specifiques liees aux donnees personnelles (minimisation, limitation de la conservation, droits des personnes) qui ne sont pas dans le perimetre natif d’ISO 27001. En revanche, la certification constitue un element de preuve solide de la diligence de l’organisation et couvre une grande partie des exigences techniques de l’article 32.

Les TPE/PME sont-elles soumises aux memes exigences de securite que les grandes entreprises ?

Le RGPD impose un niveau de securite adapte au risque, ce qui signifie que les exigences sont proportionnees a la nature des donnees traitees, aux volumes et aux risques associes. Une TPE traitant des donnees de sante sera soumise a des exigences elevees en raison de la sensibilite des donnees, meme si sa taille est modeste. Inversement, les mesures les plus avancees (SOC 24/7, DLP, SIEM) ne seront pas attendues d’une TPE traitant uniquement des donnees de contact. Toutefois, le socle elementaire (mots de passe, chiffrement, sauvegardes, mises a jour) s’impose a toutes les organisations sans exception.