Guide pratique

Les mesures de sécurité
que le RGPD impose vraiment.

L'article 32 du RGPD ne donne pas une liste d'outils à cocher : il fixe des objectifs de sécurité à atteindre, en tenant compte du risque réel pour les personnes. Voici ce qu'il exige précisément, et ce qu'il laisse à votre appréciation.

Article 32 du RGPD

Quatre objectifs de sécurité à garantir.

Le texte demande de mettre en œuvre des mesures techniques et organisationnelles « appropriées au risque », pour assurer en permanence ces quatre qualités des systèmes qui traitent des données personnelles.

Confidentialité

Seules les personnes habilitées peuvent accéder aux données — empêcher tout accès, divulgation ou consultation non autorisés.

Intégrité

Les données ne doivent pas être altérées ou modifiées de façon non autorisée ou accidentelle.

Disponibilité

Les données et les systèmes doivent rester accessibles et utilisables par les personnes autorisées quand elles en ont besoin.

Résilience

Les systèmes de traitement doivent pouvoir continuer à fonctionner, ou être rétablis rapidement, en cas d'incident technique ou physique.

Ce que le texte ajoute

Rétablir, tester, et adapter les mesures au risque.

Au-delà des quatre objectifs ci-dessus, l'article 32 impose deux obligations concrètes. D'abord, une capacité à rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique — ce qui suppose, en pratique, une organisation de sauvegarde pensée en amont plutôt qu'improvisée après coup. Ensuite, une procédure de test, d'analyse et d'évaluation régulière de l'efficacité de ces mesures, pour vérifier qu'elles fonctionnent réellement et pas seulement sur le papier.

Le RGPD cite aussi la pseudonymisation et le chiffrement des données à caractère personnel — mais explicitement « le cas échéant » : ce sont des exemples de mesures possibles, pas des obligations universelles applicables à tous les traitements. Ce que le texte impose réellement, c'est une appréciation du niveau de risque et le choix de mesures proportionnées à ce risque, à l'état de l'art et au coût de mise en œuvre — pas un standard technique unique valable pour toutes les organisations.

Quand la sécurité fait défaut

Une sécurité insuffisante mène tout droit à la violation de données.

Une atteinte à la confidentialité, à l'intégrité ou à la disponibilité des données constitue, par définition, une violation de données au sens du RGPD — qu'il s'agisse d'un accès non autorisé, d'une perte, ou d'une destruction accidentelle. Les mesures de l'article 32 sont donc la première ligne de défense : mieux elles sont pensées, moins le risque de violation est élevé. Pour comprendre ce qui se passe si l'incident survient malgré tout — délais de notification à la CNIL, information des personnes concernées — voir notre page sur la violation de données.

Le risque en cas de manquement

Un défaut de sécurité peut être sanctionné en tant que tel.

Le non-respect de l'article 32 est l'un des manquements que la CNIL peut sanctionner, indépendamment même de la survenance d'un incident : ne pas avoir mis en place des mesures appropriées au risque est déjà, en soi, un manquement au RGPD. Ces sanctions peuvent aller, pour les manquements les plus graves, jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros — le montant le plus élevé étant retenu — la CNIL pouvant aussi prononcer une mise en demeure avant toute sanction financière. Le détail est expliqué sur notre page amendes RGPD.

Vos mesures de sécurité tiendraient-elles la comparaison avec l'article 32 ?

VIGIL vous aide à identifier les mesures adaptées à votre niveau de risque et à documenter votre conformité, avec un juriste de magistère disponible pour les points sensibles. Voir aussi nos formules d'accompagnement.

Faire le point avec nous

Contenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.