Bilan lourd des sanctions au titre du manquement à l’obligation de sécurité (art.32)

Que dit l’article 32 ? « Compte tenu de l'état des connaissances (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…). »


L’article 32 du RGPD énumère une liste non exhaustive de mesures à prendre :

a) « la pseudonymisation et le chiffrement des données à caractère personnel » [art.4] de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires (…);

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. »


2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques* que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel (…) ou de l'accès non autorisé à de telles données, (…).

* [art. 75] Des risques (…) susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral, (…) un vol ou une usurpation d'identité, (…) une perte financière, (…) une atteinte à la réputation, (…) une perte de confidentialité de données protégées par le secret professionnel, (…) un renversement non autorisé du processus de pseudonymisation ou (…) tout autre dommage économique ou social important; (…)

3. L'application d'un code de conduite approuvé (…) ou d'un mécanisme de certification approuvé (…) peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique ou sous-traitant (…), ne (…) traite pas (les données personnelles), excepté sur instruction (…), à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

Quelques entreprises sanctionnées en France depuis la mise en application du RGPD

· Uber France (400K)

· Bouygues télécom (250K)

· Active assurance (180K)

· CNAM (100 K)

· Uniontrad Company (20K)

· Médecin libéral (3K)

· Institut des techniques informatiques et commerciales (mise en demeure)

· Association 42 (mise en demeure)