Article 32 – Sécurité du traitement

Le texte de l’article 32 – Sécurité du traitement

” Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins … ”

article 32

L’analyse de l’article 32 – Sécurité du traitement

L’article 32 du RGPD formalise le principe de sécurité du traitement des données à caractère personnel. On note que ce paragraphe est analogue à l’article 25 et le complète sur la limitation des accès. Il décrit le concept de sous-traitant qui doit, sous la vigilance du responsable de traitement, se soumettre aux mêmes impératifs.

La sécurité du traitement des données est un élément indispensable dans le fonctionnement d’une organisation. En tant que responsable de traitement, il convient de minimiser les risques de perte, divulgation, piratage, falsification ou détérioration des données à caractère personnel (en jeu la notion de vie privée). En préalable, vous devrez toujours procéder à l’analyse des risques avant d’appliquer les actions préventives et correctives nécessaires. Cette étape sollicitera le concours d’une majorité de parties prenantes internes (direction, services IT, qualité, juridique, commercial, etc.).

Liste des obligations

Le responsable de traitement doit mettre en œuvre des mesures techniques et organisationnelles. Cette obligation généraliste de l’article 32 a poussé la CNIL à préciser un certain nombre de possibilités :

1. sensibilisation des utilisateurs (code de conduite) ;
2. authentification des utilisateurs (renouvellement des mots de passe) ;
3. gestion des habilitations (licence unique pour les logiciels) ;
4. traçage des accès pour les enquêtes sur incidents ;
5. encadrement du développement informatique (essais sur des systèmes distincts) ;
6. sécurisation des postes de travail (verrouillage automatique, anti-virus) ;
7. protection du réseau interne (gestion du WI-FI) ;
8. sécurisation des données mobiles (synchronisation des données) ;
9. isolement des serveurs (accès spécifiques administrateurs) ;
10. sécurisation des sites web (protocole TLS) ;
11. prévision de la continuité et de la reprise d’activité pour la résilience et le rétablissement (sauvegardes sur un site extérieur) ;
12. sécurisation de la maintenance et de la destruction (mode opératoire) ;
13. protection de l’archivage (durée de préservation des données) ;
14. gestion de la sous-traitance (contrats incluant une partie RGPD) ;
15. sécurisation des échanges (chiffrement des données) ;
16. protection des locaux (alarmes anti-intrusions) ;
17. sécurisation de l’intégrité et de la confidentialité des données (pseudonymisation).

L’étendue de la charge doit vous encourager à adopter une démarche qualité efficace. Si l’intégration d’un processus d’amélioration continue n’est pas imposée, la conduite d’audits de vérification est primordiale. Ces contrôles pourront prendre la forme, de manière interne ou externe, d’audits juridiques ou de tests intrusifs par exemple.

N’hésitez pas à faire appel à

vous devez prouver!

Vous devez veiller à ne pas tomber dans le piège du « faire pour faire ». L’objectif est de prouver à tout instant à la CNIL que la sécurité du traitement des données est mise en œuvre dans votre organisation. Cette dernière a d’ailleurs prononcé en 2019 une amende de 400 000 € à l’encontre d’un responsable de traitement pour non-respect de la protection d’adresses URL. Une décision convaincante.