Article 32 Sécurité du traitement

L'approche par les risques en matière de sécurité

L'article 32, paragraphe 1, impose que les mesures de sécurité soient adaptées au risque, compte tenu de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. Cette approche par les risques signifie qu'il n'existe pas de mesure de sécurité universelle applicable à tous les traitements : les mesures doivent être proportionnées et contextualisées.

L'évaluation du risque doit prendre en compte, conformément au paragraphe 2, les risques de destruction, de perte, d'altération, de divulgation non autorisée de données, ou d'accès non autorisé à de telles données, de manière accidentelle ou illicite. Cette évaluation doit tenir compte de la probabilité et de la gravité du risque : un traitement portant sur des données sensibles (données de santé, données biométriques) ou sur un grand nombre de personnes présente un risque plus élevé qu'un traitement portant sur des données non sensibles et concernant un nombre limité de personnes.

L'approche par les risques impose également de réévaluer régulièrement les mesures de sécurité mises en place, afin de tenir compte de l'évolution des menaces (nouvelles techniques d'attaque, vulnérabilités découvertes), de l'évolution des technologies de protection (nouveaux algorithmes de chiffrement, nouveaux outils de détection d'intrusion), et de l'évolution des traitements réalisés par l'organisation.

Les mesures techniques de sécurité

L'article 32, paragraphe 1, mentionne plusieurs catégories de mesures techniques devant être mises en œuvre, selon les besoins. Parmi ces mesures figurent la pseudonymisation et le chiffrement des données à caractère personnel (point a), qui permettent de limiter l'impact d'une violation de données en rendant les données inintelligibles pour des tiers non autorisés.

Le chiffrement peut être mis en œuvre tant pour les données en transit (communications entre systèmes, transferts de fichiers) que pour les données au repos (données stockées sur des serveurs, des postes de travail, ou des supports amovibles). Il constitue une mesure de sécurité essentielle pour les traitements portant sur des données sensibles ou présentant un risque élevé.

Les autres mesures techniques incluent les contrôles d'accès logiques (authentification forte, gestion des habilitations, séparation des privilèges), les mécanismes de journalisation et de traçabilité des accès et des opérations de traitement, les systèmes de détection et de prévention des intrusions, les pare-feu, les outils de sauvegarde et de restauration des données, les mécanismes de mise à jour et de correction des vulnérabilités, ou encore les architectures de résilience et de redondance des systèmes.

Les mesures organisationnelles de sécurité

Au-delà des mesures techniques, l'article 32 exige la mise en place de mesures organisationnelles appropriées. Ces mesures incluent notamment la définition de politiques de sécurité des systèmes d'information, la mise en place de procédures de gestion des habilitations et des accès, la formation et la sensibilisation du personnel aux enjeux de sécurité et de protection des données, la définition de procédures de gestion des incidents de sécurité, ou encore la réalisation d'audits et de tests de sécurité réguliers.

Les mesures organisationnelles comprennent également la désignation de responsables de la sécurité des systèmes d'information (RSSI), la mise en place de comités de pilotage de la sécurité, la définition de plans de continuité d'activité et de plans de reprise d'activité, ou encore la mise en œuvre de procédures de gestion des changements et de validation des mises en production.

L'article 32, paragraphe 4, impose également de garantir que toute personne agissant sous l'autorité du responsable du traitement ou du sous-traitant ne traite les données que sur instruction, ce qui suppose la mise en place de chartes informatiques, de clauses de confidentialité dans les contrats de travail, et de mécanismes de contrôle et de sanction des comportements non conformes.

La procédure de test et d'évaluation régulière

L'article 32, paragraphe 1, point d), impose la mise en place d'une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. Cette exigence signifie que les mesures de sécurité ne doivent pas être considérées comme statiques, mais doivent faire l'objet d'une révision et d'une amélioration continues.

Les tests de sécurité peuvent prendre différentes formes : tests d'intrusion (penetration testing) réalisés par des experts en sécurité informatique, audits de sécurité réalisés par des auditeurs internes ou externes, analyses de vulnérabilités, simulations d'incidents de sécurité (exercices de gestion de crise), ou encore évaluations de conformité à des référentiels de sécurité (ISO 27001, NIST Cybersecurity Framework, etc.).

La fréquence des tests et des évaluations doit être adaptée au niveau de risque du traitement : les traitements présentant un risque élevé doivent faire l'objet de tests plus fréquents et plus approfondis que les traitements présentant un risque faible. Il est recommandé de documenter les résultats des tests et des évaluations et de mettre en place des plans d'action pour corriger les vulnérabilités identifiées.

Les codes de conduite et les certifications

L'article 32, paragraphe 3, reconnaît que l'adhésion à un code de conduite approuvé au titre de l'article 40 ou à un mécanisme de certification approuvé au titre de l'article 42 peut servir d'élément pour démontrer le respect des exigences en matière de sécurité du traitement. Les codes de conduite et les certifications offrent ainsi aux organisations des référentiels et des standards reconnus pour structurer leur démarche de sécurité et démontrer leur conformité au RGPD.

Plusieurs certifications en matière de sécurité des systèmes d'information sont reconnues au niveau international, notamment la certification ISO 27001, qui atteste de la mise en place d'un système de management de la sécurité de l'information conforme à des standards élevés. D'autres certifications spécifiques au RGPD ont été développées au niveau européen et national, portant notamment sur la conformité des systèmes de traitement ou des pratiques de gestion des données personnelles.

Articulation avec les analyses d'impact (AIPD)

L'article 32 doit être lu en lien étroit avec l'article 35 relatif aux analyses d'impact relatives à la protection des données (AIPD). Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit réaliser une AIPD avant de mettre en œuvre le traitement. Cette analyse permet d'identifier les risques spécifiques liés au traitement et de déterminer les mesures de sécurité appropriées pour atténuer ces risques.

Les mesures de sécurité identifiées dans le cadre de l'AIPD doivent être mises en œuvre conformément à l'article 32 et doivent faire l'objet d'une révision régulière, afin de s'assurer de leur efficacité et de leur adaptation aux évolutions du traitement et des menaces.

Sanctions et jurisprudence

Le non-respect de l'article 32 est susceptible d'entraîner des sanctions administratives particulièrement élevées en application de l'article 83 du RGPD. Les violations de l'obligation de sécurité peuvent donner lieu à des amendes pouvant atteindre 10 000 000 euros ou, dans le cas d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Les autorités de contrôle sanctionnent régulièrement les organisations qui ne mettent pas en place de mesures de sécurité appropriées, qui ne procèdent pas à des évaluations régulières de leurs systèmes de sécurité, ou qui ne corrigent pas les vulnérabilités identifiées. Les violations de données résultant de défaillances de sécurité sont particulièrement sévèrement sanctionnées, notamment lorsqu'elles révèlent des manquements graves et persistants aux obligations de l'article 32.

La Commission nationale de l'informatique et des libertés (CNIL) a, à plusieurs reprises, rappelé que l'obligation de sécurité constitue une obligation de moyens renforcée et que le responsable du traitement et le sous-traitant doivent mettre en œuvre l'état de l'art en matière de sécurité, en tenant compte des risques identifiés et des ressources disponibles.

Recommandations de la CNIL et du CEPD

La CNIL recommande aux organisations de procéder à une analyse de risques préalable à la mise en œuvre de tout nouveau traitement, de mettre en place des mesures de sécurité adaptées aux risques identifiés, et de documenter ces mesures dans le registre des activités de traitement et dans les analyses d'impact. Elle insiste également sur l'importance de la formation du personnel, de la réalisation de tests de sécurité réguliers, et de la mise en place de procédures de gestion des incidents de sécurité.

Le Comité européen de la protection des données (CEPD) souligne que la sécurité du traitement constitue un élément fondamental de la protection des données personnelles et qu'elle doit être prise en compte dès la conception des systèmes de traitement, conformément au principe de privacy by design prévu à l'article 25. Il recommande aux organisations de mettre en place une gouvernance de la sécurité structurée, impliquant les équipes techniques, les équipes métier, et le délégué à la protection des données.