Article 32 du RGPD

Sécurité du traitement

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 2 - sécurité des données à caractère personnel »  article 32

  1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
    • a) la pseudonymisation et le chiffrement des données à caractère personnel;
    • b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
    • c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
    • d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
  2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
  3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
  4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.

Article 32 du RGPD : Ce qu'il faut comprendre

L’article 32 du RGPD impose aux responsables du traitement et aux sous-traitants de mettre en place des mesures de sécurité adaptées pour protéger les données personnelles contre les risques potentiels. Ces mesures doivent tenir compte des coûts, de l’état des connaissances techniques, ainsi que de la nature et des risques associés au traitement des données.

Exemples de mesures de sécurité

  1. Pseudonymisation et chiffrement : Les données personnelles peuvent être pseudonymisées (remplacer les informations permettant d’identifier une personne par des identifiants non directement reliés à elle) ou chiffrées pour protéger leur confidentialité.
  2. Confidentialité, intégrité et disponibilité : Garantir que les systèmes utilisés pour traiter les données sont sécurisés et résistants aux attaques ou aux pannes, tout en assurant que les données sont accessibles en toute sécurité.
  3. Récupération des données : Mettre en place des systèmes pour pouvoir restaurer les données rapidement en cas d’incident, comme une panne ou une attaque informatique.
  4. Tests réguliers : Évaluer et tester régulièrement l’efficacité des mesures de sécurité mises en place pour s’assurer qu’elles fonctionnent correctement.

Évaluation des risques

Lors de la mise en place de ces mesures, le responsable et le sous-traitant doivent tenir compte des risques spécifiques liés au traitement, comme la destruction accidentelle, la perte, l’altération, la divulgation non autorisée, ou l’accès illégal aux données personnelles.

Certification et code de conduite

L’utilisation d’un code de conduite approuvé ou d’une certification peut aider à prouver que les mesures de sécurité mises en place respectent les exigences du RGPD.

Contrôle des accès

Toute personne travaillant pour le responsable ou le sous-traitant qui a accès aux données personnelles ne doit les traiter que sous instruction du responsable du traitement, sauf si la loi l’y oblige.

Article 32 du RGPD – Exemples concrets

  • Exemple 1 : Chiffrement des données
    Une entreprise qui stocke des informations sur ses clients met en place le chiffrement des données pour que celles-ci ne puissent pas être lues en cas de piratage.
  • Exemple 2 : Système de sauvegarde
    Une société de gestion de données met en place un système de sauvegarde automatisé pour récupérer rapidement les informations personnelles en cas de panne informatique ou d’attaque.
  • Exemple 3 : Tests de sécurité
    Un sous-traitant effectue régulièrement des tests de sécurité pour s’assurer que les mesures en place (comme les pare-feux et les systèmes de chiffrement) fonctionnent correctement et résistent aux attaques.
  • Exemple 4 : Accès contrôlé
    Dans une entreprise, seules les personnes autorisées (par exemple, les employés du service informatique) peuvent accéder aux données personnelles, et elles ne peuvent le faire qu’avec des instructions claires du responsable du traitement.

← Article 31 – Coopération avec l’autorité de contrôle
Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel →

Les articles du RGPD mentionnant l'article 32

Votre site internet est-il en conformité vis à vis des données personnelles ?

Les sites internet doivent mettre en œuvre des mesures techniques et organisationnelles pour garantir la sécurité des données personnelles des utilisateurs (par exemple, le chiffrement des connexions).

Faites auditer votre site gratuitement par un développeur consultant en RGPD !

Audit RGPD gratuit