L’article 32 du RGPD constitue le socle juridique de l’obligation de securite des donnees personnelles dans le droit europeen de la protection des donnees. Souvent sous-estime par les organisations, ce texte impose pourtant des exigences concretes dont le non-respect est sanctionne par des amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial. Comprendre ses mecanismes est indispensable pour toute organisation traitant des donnees a caractere personnel.

I. Texte integral et analyse de l’article 32

Avant d’entrer dans l’analyse, il convient de rappeler le texte lui-meme :

Article 32 – Securite du traitement

1. Compte tenu de l’etat des connaissances, des couts de mise en oeuvre et de la nature, de la portee, du contexte et des finalites du traitement ainsi que des risques, dont le degre de probabilite et de gravite varie, pour les droits et libertes des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriees afin de garantir un niveau de securite adapte au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des donnees a caractere personnel ;

b) des moyens permettant de garantir la confidentialite, l’integrite, la disponibilite et la resilience constantes des systemes et des services de traitement ;

c) des moyens permettant de retablir la disponibilite des donnees a caractere personnel et l’acces a celles-ci dans des delais appropries en cas d’incident physique ou technique ;

d) une procedure visant a tester, a analyser et a evaluer regulierement l’efficacite des mesures techniques et organisationnelles pour assurer la securite du traitement.

2. Lors de l’evaluation du niveau de securite approprie, il est tenu compte en particulier des risques que presente le traitement, resultant notamment de la destruction, de la perte, de l’alteration, de la divulgation non autorisee de donnees a caractere personnel transmises, conservees ou traitees d’une autre maniere, ou de l’acces non autorise a de telles donnees, de maniere accidentelle ou illicite.

Plusieurs elements meritent une attention particuliere. D’abord, le texte vise conjointement le responsable de traitement et le sous-traitant : l’obligation de securite n’est pas delegable. Ensuite, le legislateur europeen a volontairement adopte une approche souple en evitant de figer les mesures techniques dans le texte. Enfin, la notion de mesures “appropriees” renvoie directement a une analyse de risques prealable.

II. Les quatre piliers de la securite selon l’article 32

Le texte identifie quatre categories de mesures que toute organisation doit envisager.

A. Pseudonymisation et chiffrement (art. 32-1-a)

La pseudonymisation consiste a traiter les donnees de telle sorte qu’elles ne puissent plus etre attribuees a une personne sans informations supplementaires, ces informations etant conservees separement. Le chiffrement vise a rendre les donnees inintelligibles a toute personne non autorisee.

En pratique, cela recouvre le chiffrement des bases de donnees au repos (AES-256), le chiffrement des communications (TLS 1.2 minimum, idealement 1.3), le chiffrement des sauvegardes et des supports amovibles, ainsi que la pseudonymisation des jeux de donnees utilises en environnement de test ou de developpement.

La CNIL a rappele a de nombreuses reprises que le stockage de mots de passe en clair constitue un manquement a l’article 32. Le hachage avec un algorithme robuste (bcrypt, Argon2) est desormais un standard minimal.

B. Confidentialite, integrite, disponibilite et resilience (art. 32-1-b)

Ce second pilier reprend la triade classique de la securite de l’information (CIA – Confidentiality, Integrity, Availability) en y ajoutant la resilience, notion empruntee au domaine de la continuite d’activite.

La confidentialite implique que seules les personnes habilitees accedent aux donnees. L’integrite garantit que les donnees ne sont pas alterees de maniere non autorisee. La disponibilite assure l’acces aux donnees quand necessaire. La resilience designe la capacite des systemes a continuer de fonctionner en cas de perturbation.

Ces exigences se traduisent par des mesures concretes : controle d’acces base sur les roles (RBAC), authentification forte (MFA), segmentation reseau, systemes de detection d’intrusion et architectures redondantes.

C. Capacite de restauration (art. 32-1-c)

L’article 32 impose la capacite de retablir la disponibilite des donnees dans des “delais appropries” en cas d’incident. Cette exigence est devenue critique avec la multiplication des attaques par rancongiciel.

Concretement, cela suppose la mise en place de sauvegardes regulieres et testees, de plans de reprise d’activite (PRA) et de plans de continuite d’activite (PCA), avec des objectifs de temps de reprise (RTO) et de point de reprise (RPO) definis et documentes. Les sauvegardes doivent etre isolees du reseau principal (air-gapped ou immutables) pour resister aux attaques destructrices.

D. Tests et evaluations regulieres (art. 32-1-d)

Le quatrieme pilier est sans doute le plus exigeant operationnellement : il impose de tester regulierement l’efficacite des mesures de securite. Une politique de securite qui n’est jamais testee ne satisfait pas aux exigences de l’article 32.

Cela inclut les tests d’intrusion (pentest) au moins annuels, les audits de securite internes et externes, les exercices de gestion de crise et de simulation d’incidents, les revues regulieres des droits d’acces et les analyses de vulnerabilites automatisees. Un audit RGPD complet doit necessairement integrer un volet securite couvrant ces elements.

III. L’approche par les risques : comment evaluer le niveau de securite requis

L’article 32 n’impose pas un niveau de securite uniforme. Il exige un niveau adapte au risque, ce qui suppose une evaluation prealable. Le paragraphe 2 precise d’ailleurs que cette evaluation doit tenir compte des risques de destruction, perte, alteration ou divulgation non autorisee des donnees.

A. Methodologie d’evaluation des risques

La demarche d’evaluation repose sur trois etapes :

1. Identification des actifs et des menaces. Il s’agit de recenser les donnees traitees, les systemes impliques et les menaces plausibles (attaque externe, erreur humaine, defaillance materielle, acte malveillant interne).

2. Evaluation de la vraisemblance et de la gravite. Pour chaque scenario de risque, on evalue la probabilite de survenance et l’impact potentiel sur les personnes concernees. Les donnees de sante, les donnees financieres ou les donnees de mineurs justifient un niveau d’exigence superieur.

3. Determination des mesures proportionnees. Le texte mentionne explicitement “l’etat des connaissances” et “les couts de mise en oeuvre” comme criteres de proportionnalite. Une startup de cinq personnes n’est pas tenue aux memes investissements qu’un groupe international, mais elle doit neanmoins mettre en oeuvre les mesures de base raisonnablement accessibles.

B. Les recommandations de la CNIL

La CNIL a publie un guide pratique de la securite des donnees personnelles, regulierement mis a jour, qui constitue la reference operationnelle pour les organisations etablies en France. Ce guide identifie 17 thematiques de securite couvrant l’ensemble du cycle de vie des donnees.

Parmi les mesures que la CNIL considere comme incontournables figurent : la sensibilisation des utilisateurs, la gestion des authentifications et des habilitations, la securisation des postes de travail et de l’informatique mobile, la protection du reseau interne, la securisation des serveurs et des sites web, la gestion des sous-traitants, la sauvegarde et la continuite d’activite, ainsi que l’archivage securise.

La CNIL a egalement insiste sur le fait que le recours a un sous-traitant ne decharge pas le responsable de traitement de ses obligations. Le contrat de sous-traitance doit contenir des clauses de securite precises conformement a l’article 28 du RGPD.

IV. Mesures techniques concretes

A. Controle d’acces et gestion des identites

Le controle d’acces est la premiere ligne de defense. Chaque utilisateur doit disposer d’un identifiant unique. Les comptes generiques doivent etre proscrits. L’authentification multifacteur (MFA) doit etre deployee pour tout acces a des donnees personnelles sensibles ou en volume. Les droits d’acces doivent suivre le principe du moindre privilege et etre revus periodiquement.

B. Chiffrement et protection des donnees

Le chiffrement doit etre deploye a trois niveaux : en transit (TLS 1.3), au repos (AES-256 ou equivalent) et en sauvegarde. Les cles de chiffrement doivent faire l’objet d’une gestion rigoureuse avec rotation periodique. Les donnees sensibles doivent etre chiffrees au niveau applicatif, et non uniquement au niveau du disque.

C. Journalisation et detection

La journalisation (logging) des acces et des operations sur les donnees personnelles est essentielle pour la detection d’incidents et la conformite a l’article 33 du RGPD relatif a la notification des violations de donnees. Les journaux doivent etre centralises, proteges contre la modification, conserves pendant une duree appropriee et analyses regulierement. Un SIEM (Security Information and Event Management) constitue une bonne pratique pour les organisations traitant des volumes importants de donnees.

D. Sauvegardes et restauration

Les sauvegardes doivent respecter la regle 3-2-1 : trois copies, sur deux supports differents, dont une hors site. Elles doivent etre chiffrees, testees regulierement (restauration effective, pas seulement verification d’integrite) et isolees du reseau de production pour resister aux rancongiciels.

V. Mesures organisationnelles

La securite ne se reduit pas a la technique. L’article 32 vise explicitement les mesures organisationnelles, ce qui inclut plusieurs composantes.

A. Politiques de securite

Toute organisation doit formaliser une politique de securite des systemes d’information (PSSI) couvrant l’ensemble des mesures techniques et organisationnelles. Cette politique doit etre approuvee par la direction, diffusee aupres des collaborateurs et regulierement actualisee.

B. Formation et sensibilisation

La CNIL place la sensibilisation des utilisateurs comme la premiere mesure de son guide de securite. Les programmes de formation doivent couvrir les risques de phishing, la gestion des mots de passe, la classification de l’information et les procedures de signalement d’incidents. Des campagnes de phishing simulees permettent de mesurer l’efficacite de cette sensibilisation.

C. Gestion des incidents

L’organisation doit disposer d’une procedure de gestion des incidents de securite permettant de detecter, qualifier, contenir et remedier aux incidents. Cette procedure doit s’articuler avec les obligations de notification de l’article 33 (notification a la CNIL sous 72 heures) et de l’article 34 (communication aux personnes concernees). Pour approfondir ce sujet, consultez notre guide sur les fuites de donnees sous le RGPD.

VI. Sanctions en cas de securite inadequate

Le non-respect de l’article 32 expose a des sanctions administratives pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial (article 83-4-a du RGPD). En pratique, la CNIL a prononce de nombreuses sanctions sur ce fondement :

• Dedalus Biologie : 1,5 million d’euros en 2022 pour une fuite de donnees medicales de pres de 500 000 patients, liee a des defaillances de securite multiples (absence de chiffrement, defaut de controle d’acces, absence de procedure d’effacement).
• Doctissimo : 380 000 euros en 2023, notamment pour un manquement a la securite des donnees de sante des utilisateurs.
• Criteo : 40 millions d’euros en 2023, sanction incluant des manquements lies a la securite des traitements a grande echelle.
• Plusieurs PME et TPE : des sanctions allant de 5 000 a 150 000 euros pour des manquements elementaires (mots de passe stockes en clair, absence de chiffrement HTTPS, defaut de sauvegarde).

Le schema est constant : la CNIL sanctionne d’autant plus severement que les mesures manquantes etaient basiques et que le volume ou la sensibilite des donnees etait eleve.

VII. Articulation avec NIS2 et ISO 27001

L’article 32 ne fonctionne pas en vase clos. Il s’inscrit dans un ecosysteme normatif plus large.

A. La directive NIS2

La directive NIS2, entree en application en 2024, impose des obligations de cybersecurite renforcees aux entites essentielles et importantes dans de nombreux secteurs. Pour les organisations soumises a la fois au RGPD et a NIS2, les exigences se recoupent largement : gestion des risques, notification des incidents, mesures techniques et organisationnelles. Une demarche de conformite integree permet d’eviter la duplication des efforts.

B. La norme ISO 27001

La certification ISO 27001 constitue un cadre de reference pour la mise en oeuvre d’un systeme de management de la securite de l’information (SMSI). Bien qu’elle ne soit pas obligatoire au titre du RGPD, elle offre une methodologie structuree qui repond largement aux exigences de l’article 32. La CNIL elle-meme encourage les organisations a s’appuyer sur des referentiels reconnus. Toutefois, la certification ISO 27001 ne vaut pas conformite automatique a l’article 32 : il faut s’assurer que le perimetre du SMSI couvre effectivement les traitements de donnees personnelles.

VIII. Le role du DPO dans la securite

Le delegue a la protection des donnees (DPO) joue un role central dans la mise en oeuvre de l’article 32, sans pour autant porter la responsabilite operationnelle de la securite. Ses missions comprennent le conseil a la direction sur le niveau de securite requis, le suivi de la conformite des mesures de securite, la coordination avec le RSSI (responsable de la securite des systemes d’information), la participation aux analyses d’impact (AIPD) qui comportent necessairement un volet securite, et le suivi des incidents de securite impliquant des donnees personnelles.

Le DPO doit disposer des ressources et de l’acces necessaires pour exercer efficacement cette mission. Dans les organisations de taille significative, une collaboration etroite entre le DPO et le RSSI est indispensable.

IX. Conclusion : une obligation vivante

L’article 32 du RGPD n’est pas une obligation statique. Il impose une demarche continue d’evaluation, de mise en oeuvre et de test des mesures de securite. L’etat de l’art evolue, les menaces se transforment, et les mesures doivent suivre.

Pour les organisations qui souhaitent structurer et automatiser le suivi de leur conformite securite au titre de l’article 32, des outils comme Legiscope permettent de centraliser la gestion des mesures techniques et organisationnelles, de suivre les actions correctives et de documenter la conformite dans une logique d’amelioration continue.

La securite des donnees personnelles n’est plus une option ni un sujet purement technique : c’est une obligation juridique dont le non-respect expose a des sanctions financieres lourdes et a un risque reputationnel considerable. L’article 32 en est la pierre angulaire.

FAQ

Quelles sont les mesures de securite minimales imposees par l’article 32 ?

L’article 32 cite quatre categories de mesures : la pseudonymisation et le chiffrement, les moyens garantissant confidentialite/integrite/disponibilite/resilience, la capacite de restauration des donnees en cas d’incident, et les procedures de test regulieres. Le guide de la CNIL detaille 17 thematiques concretes a mettre en oeuvre. Un audit RGPD permet d’evaluer votre niveau de conformite.

Le sous-traitant est-il aussi responsable de la securite des donnees ?

Oui, l’article 32 vise conjointement le responsable de traitement et le sous-traitant. Le sous-traitant a une obligation propre de securite, independante de celle du responsable de traitement. Le contrat de sous-traitance doit contenir des clauses de securite precises conformement a l’article 28 du RGPD.

Faut-il obligatoirement chiffrer les donnees personnelles ?

Le chiffrement n’est pas une obligation absolue mais une mesure a evaluer au regard des risques. En pratique, la CNIL considere que le chiffrement des communications (TLS 1.2 minimum), des sauvegardes et des bases de donnees sensibles est un standard minimal. Le stockage de mots de passe en clair constitue systematiquement un manquement.

Quelles sanctions en cas de securite insuffisante ?

Les sanctions peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial (article 83-4-a). La CNIL a deja prononce des amendes significatives : 1,5 million pour Dedalus Biologie, 40 millions pour Criteo. Les manquements aux mesures de base (mots de passe en clair, absence de HTTPS) sont sanctionnes d’autant plus severement.

Comment l’article 32 s’articule-t-il avec la directive NIS2 ?

Les exigences de securite de l’article 32 et de NIS2 se recoupent largement. Pour les organisations soumises aux deux textes, une demarche integree permet d’eviter la duplication des efforts. La certification ISO 27001 constitue un cadre commun pour repondre simultanement aux deux reglementations.