Article 32 – Sécurité du traitement

Article 32 - Sécurité du traitement

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

En savoir plus...

L'article 32, paragraphe 1, du RGPD reflète le principe d'intégrité et de confidentialité énoncé à l'article 5, paragraphe 1, point f), du RGPD. Le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin d'atteindre un niveau de sécurité adéquat, en tenant compte de l'état de la technique, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement. Il convient également de prendre en considération l'impact du traitement sur les droits et libertés des personnes physiques,

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Responsabilités du responsable de traitement]
74. Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

[Risques pours les droits et libertés de personnes physiques]
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

[Evaluer les risques pour les personnes concernées]
76. Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

[Recommandations sur l'évaluation des risques]
77. Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d'indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

[Mesures techniques et organisationnelles appropriées]
78. La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d'être en mesure de démontrer qu'il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.

[Claire répartition des responsabilités]
79. La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'une opération de traitement est effectuée pour le compte d'un responsable du traitement.

[Evaluer et maîtriser les risques]
83. Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l'état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l'évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral.

Droit souple

Références

Cet article cite...

> Article 40 - Codes de conduite

> Article 42 - Certification

Cet article est cité par...

> Article 28 - Sous-traitant

> Article 30 - Registre des activités de traitement

> Article 40 - Codes de conduite

> Article 83 - Conditions générales pour imposer des amendes administratives

Autres textes liés

> Article 5 - Principes relatifs au traitement des données à caractère personnel

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Fait référence à	Lien
C-340/21	Natsionalna agentsia za prihodite	14/12/2023	2023	Bulgarie	Cour de Justice de l'UE	Responsabilités		Violation de données - Présomption irréfragable d'insuffisance des mesures de sécurité - Absence		31. Partant, les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par un tiers suffisent pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées, au sens de ces dispositions, sans même permettre à ce dernier d’apporter la preuve contraire.	24, 32, 82	c9a79ac93c358874ab99f40683428a9fb7bd666c		Cliquer pour accéder à la décision
SAN-2022-021	EDF	24/11/2022	2022	France	CNIL ou équivalent	Authentification		Caractère suffisant des mesures de sécurité - 1) Critères d’appréciation - Analyse de risques - 2) Politique d’authentification robuste - Stockage des mots de passe - Fonction de hachage MD5 - Algorithme faible	Faisant suite à une mission de contrôle, le 23 juin 2022, la rapporteure a fait notifier à la société un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative au regard des manquements constitués aux articles 7, paragraphe 1, 12, 13, 14, 15, 21 et 32 du RGPD et L. 34-5 du code des postes et des communications électroniques (ci-après le CPCE ). En réponse, EDF explique notamment que, depuis janvier 2018, toutes les inscriptions ou les modifications d’un mot de passe utilisateur sont enregistrées dans l’annuaire associé au portail […] en SHA-256 avec un mécanisme d’aléas associé (salage). Le hachage MD5 correspond uniquement au niveau de hachage mis en place historiquement par la société […], sous-traitant […], et pour lequel seuls quelques milliers de comptes étaient encore concernés en avril 2021. La société ajoute que ces mots de passe étaient tout de même stockés avec la robustesse du mécanisme supplémentaire d’aléa (salage), empêchant les attaques par tables précalculées.	62. [...] Le responsable de traitement est tenu de s’assurer que le traitement automatisé de données qu’il met en œuvre est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s’apprécie d’une part, au regard des caractéristiques du traitement et des risques qu’il induit, d’autre part, en tenant compte de l’état de connaissances et du coût des mesures. La mise en place d’une politique d’authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l’article 32 du RGPD. Ainsi, il est nécessaire de veiller à ce qu’un mot de passe permettant de s’authentifier sur un système ne puisse pas être divulgué. - 64. Le recours à la fonction de hachage MD5 pour stocker des mots de passe n’est plus considéré comme à l’état de l’art depuis 2004. Ainsi, l’utilisation de cet algorithme permettrait à une personne ayant connaissance du mot de passe haché de déchiffrer celui-ci sans difficulté en un temps très court [..]. - 65. Or, la formation restreinte constate que, jusqu’à juillet 2022, les mots de passe de plus de 25 800 comptes étaient conservés de manière non sécurisée, avec la fonction de hachage MD5. Dans ces conditions, eu égard aux risques encourus par les personnes, la formation restreinte considère que la société a manqué aux obligations qui lui incombent en vertu de l’article 32 du RGPD.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c	CNIL, Délibération SAN-2021-008 du 14 juin 2021, Brico Privé (point 66), disponible ici	Cliquer pour accéder à la décision
Avis 2021-082	Avis sur projet de décret, livret de parcours inclusif (LPI)	15/07/2021	2021	France	CNIL ou équivalent	Cloisonnement	Jeunesse et éducation	Identifiant spécifique et distinct de l’identifiant national pour la mise en œuvre d’un traitement spécifique - Limitation des risques de réidentification des personnes en cas de fuite de données	Le projet de décret en Conseil d’Etat soumis pour avis le 1er juin 2021 vise à autoriser la mise en œuvre d’un traitement de données à caractère personnel dénommé " Livret de parcours inclusif " (ci-après " LPI "). Cette application, mise en œuvre par le ministère de l’éducation nationale, de la jeunesse et des sports sur le fondement de sa mission d’intérêt public, au sens du règlement général sur la protection des données (RGPD), doit participer au " service public de l’école inclusive ". Elle a pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage. Le LPI devrait ainsi permettre aux personnels concernés, et aux familles qui accepteront de l’utiliser de consulter en temps réel le suivi pédagogique mis en place pour un élève à besoins éducatifs particuliers. D’après le ministère, environ 840.000 élèves, pour la plupart mineurs, sont susceptibles d’être concernés.	En troisième lieu, l’article 2, 1-a) du projet de décret fait par ailleurs état de ce que les données d’identification dans le LPI contiendront à la fois l’identifiant national élève (INE) et le numéro LPI. Le ministère a précisé à cet égard qu’il s’agissait bien de la création d’un nouvel identifiant unique, que le numéro INE n’était traité dans le LPI qu’à des fins d’interconnexion entre les différents systèmes d’information du ministère et que le numéro LPI permettra l’identification des élèves entre le ministère et le système d’information des MDPH. La Commission [...] accueille favorablement la création de cet identifiant spécifique, et considère que la création et l’utilisation de ce numéro LPI permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaire, et de limiter les risques de réidentification des personnes en cas de fuite de données. Elle appelle donc le ministère à limiter au maximum les échanges de données nominatives.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Cliquer pour accéder à la décision
SAN-2021-002	Société X	08/01/2021	2021	France	CNIL ou équivalent	Responsabilités		Répartition des responsabilités entre responsable de traitement et sous-traitant - Solutions techniques et organisationnelles de sécurité adéquates - Responsabilité du sous-traitant - Existence		Si aux termes de l’article 32 du RGPD, les obligations en matière de sécurité des traitements de données à caractère personnel s’adressent tant au responsable de traitement qu’au sous-traitant, la répartition des responsabilités entre ces deux acteurs résulte également du contrat de sous-traitance qu’ils doivent conclure au titre de l’article 28 du RGPD. En ce sens, l’article 28-3-f impose que ce contrat prévoit que le sous-traitant « aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ». La CNIL déduit de la combinaison de ces dispositions qu’il revient au sous-traitant de proposer au responsable de traitement les solutions techniques et organisationnelles adéquates, notamment en ce qui concerne la sécurité des traitements, et ce, indépendamment des obligations qui pèsent en propre sur le responsable du traitement.	24, 28, 32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Non publié. Source: CNIL, Tables Informatique et Libertés
SAN-2021-019	RATP	29/10/2021	2021	France	CNIL ou équivalent	Besoin d'en connaître, Journalisation		Mesures appropriées pour assurer la confidentialité des données - Information des utilisateurs du système et contrôle de l’usage aux moyens de journaux de connexion - Gestion des habilitations	Le 13 mai 2020, la CNIL a été saisie par l’organisation syndicale CGT-X d’une plainte (saisine n°) portant sur un fichier d’évaluation des agents de X, constitué dans le cadre de la procédure d’avancement de carrière des agents dans le centre de bus X. L’organisation syndicale faisait valoir que le fichier en cause contenait un certain nombre de catégories de données à caractère personnel qui lui confèreraient un caractère illicite, voire discriminatoire. Le 18 mai 2020, la RATP a notifié à la Commission une violation de données qui aurait consisté en l’utilisation d’un fichier contraire aux dispositions du RGPD dans le cadre des commissions de classement des agents du département BUS. Faisant suite, une instruction a été lancée. A son issue, la rapporteure a fait notifier à X, le 12 mai 2021, un rapport détaillant les manquements aux dispositions du RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l’encontre de X une amende administrative. En défense, la RATP soutient notamment que le système ne peut être cloisonné et que tous les agents habilités ont besoin d’avoir accès à l’ensemble des données dans le cadre de leurs fonctions. Elle fait également valoir que l’accès transversal entre les unités opérationnelles correspond à une nécessité opérationnelle et organisationnelle et précise à cet égard que les directeurs d’unité opérationnelle ont besoin d’avoir accès aux données de toutes les unités opérationnelles en vue d’assurer la continuité du service. La société soutient également être en train de mettre en œuvre un plan d’action visant à cloisonner l’accès des profils " management d’unité opérationnelle " et " assistant RH " aux seules données de l’unité opérationnelle à laquelle ils sont rattachés.	62. [...] En application de l’article 32 du RGPD, le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que les données soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître. La prévention des mésusages et des violations de données peut être en partie assurée par des mesures organisationnelles, notamment en informant les utilisateurs du système d’information sur les données qu’ils sont autorisés à traiter pour leurs missions, et en contrôlant l’usage qui en est fait, par exemple aux moyens de journaux de connexion. [...] En complément de ces mesures, la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Cliquer pour accéder à la décision
MED-2023-019	Société X	06/04/2023	2023	France	CNIL ou équivalent	Maintenance		Sécurité des logiciels - Obligation d’utiliser une version suivie intégrant les correctifs de sécurité - Version d’un logiciel n’étant plus suivie - Utilisation temporaire - Admissibilité selon la sensibilité des données traitées et les risques encourus par les personnes		Tout logiciel doit en principe être utilisé dans une version permettant encore de recevoir et d’intégrer les correctifs de sécurité, fournis par un éditeur compétent. L’utilisation d’une version d’un logiciel qui n’est plus suivie par le ou les éditeurs compétents ne peut constituer qu’une situation temporaire, en attendant une adaptation des systèmes internes du responsable de traitement à une montée de version du logiciel ou un transfert vers un autre logiciel. L’admissibilité de l’utilisation temporaire d’une version non suivie d’un logiciel dépend de la sensibilité des données traitées et des risques encourus par les personnes.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Non publié. Source: CNIL, Tables Informatique et Libertés
Avis 2022-021	Avis sur projet de décret	17/02/2022	2022	France	CNIL ou équivalent	Robustesse des mesures		Signalements dans un fichier par des zones de texte libre - Garantie possible pour compenser les risques induits par ces zones - Impossibilité de rechercher dans le fichier à partir des mots dans les signalements		Lorsque l’enregistrement de signalements dans un fichier est possible par le biais de zones de texte libre pouvant conduire à enregistrer des données variées et parfois sensibles, il est recommandé d’assurer qu’il ne soit pas possible d’effectuer des recherches dans le fichier à partir des mots rédigés dans ces signalements, afin de limiter les mésusages possibles de ces données.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Non publié. Source: CNIL, Tables Informatique et Libertés
452969	M. B… A…	22/06/2022	2022	France	Conseil d'Etat	Besoin d'en connaître	Police-Justice	Mesure consistant à réserver l’accès à un fichier à des personnes spécialement habilitées - Incidence d’une irrégularité sur la décision prise après la consultation du fichier - Cas d’un agrément refusé après consultation du TAJ	La chambre de commerce et d'industrie du Var a demandé au préfet du Var de délivrer à M. A... l'agrément individuel pour effectuer des visites de sûreté portuaire prévu par les dispositions alors applicables de l'article L. 5332-8 du code des transports. Par une décision du 10 août 2017, le préfet a rejeté cette demande au motif que la consultation du traitement des antécédents judiciaires effectuée à l'occasion de l'enquête administrative préalable réalisée sur M. A... révélait de sa part des faits récents justifiant un refus d'agrément. Le ministre de l'intérieur se pourvoit en cassation contre l'arrêt du 23 mars 2021 par lequel la cour administrative d'appel de Marseille a rejeté son appel formé contre le jugement du tribunal administratif de Toulon qui a annulé cette décision et enjoint au préfet du Var de procéder à un nouvel examen de la demande de M. A....	3, [...] Il résulte du 1° du I de l'article R. 40-29 du code de procédure pénale (CPP) que les agents habilités selon les modalités prévues au 1° du I de l'article R. 40-28 peuvent consulter les données à caractère personnel figurant dans le traitement des antécédents judiciaires (TAJ), qui se rapportent à des procédures judiciaires closes ou en cours, sans autorisation du ministère public, dans le cadre des enquêtes prévues à l'article L. 114-1 du code de la sécurité intérieure (CSI), applicable en particulier à l'instruction des demandes d'agrément des personnes chargées des visites de sûreté portuaire. - 5. Dès lors que les dispositions du code des transports prévoient la possibilité que certains traitements automatisés de données à caractère personnel soient consultés au cours de l'enquête conduite par l'administration dans le cadre de ses pouvoirs de police, préalablement à la délivrance d'un agrément individuel, la circonstance que l'agent ayant procédé à cette consultation n'aurait pas été, en application des dispositions également citées ci-dessus du code de procédure pénale, individuellement désigné et régulièrement habilité à cette fin, si elle est susceptible de donner lieu aux procédures de contrôle de l'accès à ces traitements, n'est pas, par elle-même, de nature à entacher d'irrégularité la décision prise sur la demande d'agrément.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Cliquer pour accéder à la décision
449284	Optical Center	26/04/2022	2022	France	Conseil d'Etat	Authentification, Maintenance		Obligation de sécurité - Manquements - Absence de contrôle régulier des mesures techniques et organisationnelles prises par le sous-traitant - Insuffisance de la politique de mots de passe	A la suite de la notification faite, le 4 janvier 2019, par la société Optical Center à la CNIL d'une attaque sur son site internet de vente en ligne ainsi qu'au dépôt de plusieurs plaintes de clients et de prospects de cette société, la CNIL a procédé, les 19 février, 29 avril et 27 et 28 mai 2019, à plusieurs contrôles, sur place dans les locaux de la société et en ligne sur son site web. Par une délibération en date du 6 janvier 2021, la formation restreinte de la CNIL a prononcé à l'encontre de la société Optical Center une amende administrative d'un montant de 250 000 euros à raison des manquements constatés aux dispositions des articles 12 paragraphe 2 et 32 du RGPD et lui a enjoint de mettre ses traitements en conformité avec ces dispositions, sous astreinte de 500 euros par jour de retard à l'issue d'un délai de trois mois suivant la notification de sa délibération. Optical Center conteste cette décision.	5. Il résulte de l'instruction, d'une part, que la vulnérabilité du système informatique à l'origine de la violation des données de près de 200 000 clients européens est la conséquence directe de l'absence de mise en œuvre par la société Optical Center d'un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant chargé d'assurer la sécurité de son site web, aucun document produit par cette dernière ne permettant de justifier de la mise à jour régulière des différents composants logiciels du site. D'autre part, le manque de robustesse de la politique de mots de passe de la société eu égard aux catégories de données traitées qui incluent notamment le numéro de sécurité sociale de ses clients, a accru l'exposition de son système à un risque d'attaque informatique. Par suite, les moyens tirés de ce que la formation restreinte de la CNIL aurait méconnu les dispositions de l'article 32 du règlement précité et commis une erreur d'appréciation en considérant qu'elle avait manqué aux obligations en découlant, ne peuvent qu'être écartés.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Cliquer pour accéder à la décision
437993	Union des syndicats CGT des agents de l’AP-HM	26/01/2021	2021	France	Conseil d'Etat	Authentification		Élections des représentants du personnel - Vote électronique par internet - Protection du caractère personnel du vote - Modalités retenues n’offrant pas une protection du caractère personnel du vote d'un niveau équivalent à celui des autres modalités de vote	L'union des syndicats CGT des agents de l'Assistance publique - Hôpitaux de Marseille (AP-HM), le syndicat départemental CFDT des services de santé et des services sociaux des Bouches-du-Rhône et le syndicat Sud Santé Sociaux des Bouches-du-Rhône ont formé devant le tribunal administratif de Marseille une protestation dirigée contre les opérations électorales qui se sont déroulées le 6 décembre 2018 en vue de la désignation des représentants du personnel aux commissions administratives paritaires et à la commission consultative paritaire des agents de la fonction publique hospitalière du département des Bouches-du-Rhône, au comité technique d'établissement et aux commissions administratives paritaires de l'AP-HM.	19. Dès lors, d'une part, que l'identification du demandeur qui sollicitait la mise en oeuvre de la procédure de " réassort " s'effectuait par la seule vérification de ses nom, prénom, date et lieu de naissance, informations qui peuvent aisément être connues de tiers, et, d'autre part, que le moyen de communication par lequel étaient envoyés l'identifiant et le nouveau mot de passe était celui qu'indiquait le demandeur qui sollicitait ce " réassort ", sans qu'il soit garanti qu'il ne serait accessible qu'à l'électeur, et alors même qu'un même numéro de téléphone ou une même adresse électronique ne pouvait être utilisé que pour une seule demande de réassort, les syndicats requérants sont fondés à soutenir que les modalités retenues pour le vote électronique par internet n'offraient pas une protection du caractère personnel du vote d'un niveau équivalent à celui des autres modalités de vote.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Cliquer pour accéder à la décision
396472	Projet de décret relatif à la production des certificats de membre d'équipage sécurisés biométriques	05/02/2019	2019	France	Conseil d'Etat	Actes réglementaires	Administration	Données biométriques - Collecte par des personnels spécifiquement désignés par les compagnies aériennes - Exigence d'une connexion internet sécurisée répondant aux normes du référentiel général de sécurité (RGS) et de certificats d'authentification		Saisi d’un projet de décret relatif à la création d'un traitement automatisé de données à caractère personnel pour la production des certificats de membre d'équipage sécurisés biométriques, le Conseil d’État (section de l'intérieur) estime nécessaire que le décret précise que la transmission des données personnelles collectées dans des stations d'enrôlement installées dans les locaux des compagnies aériennes par connexion internet sécurisée à l'Imprimerie nationale obéisse aux règles du référentiel général de sécurité (RGS) mentionné au décret n° 2010-112 du 2 février 2010 et que les personnels des compagnies aériennes spécifiquement désignés pour la collecte soient titulaires d'un certificat d'authentification répondant aux normes du RGS. Le projet de décret est modifié en ce sens.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Non publié en intégralité.
SAN-2022-022	FREE	30/11/2022	2022	France	CNIL ou équivalent	Authentification		Caractère suffisant des mesures de sécurité - 1) Critères d’appréciation - 2) Exigences de robustesse des mots de passe	Faisant suite à une mission de contrôle, le 21 avril 2022, le rapporteur a fait notifier à la société un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative et une injonction de mettre en conformité le traitement avec les dispositions de l’article L.34-5 du code des postes et des télécommunications électroniques (CPCE) et des articles 7-1, 15, 17, 32 et 33 du RGPD, assortie d’une astreinte par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération de la formation restreinte. En réponse, la société fait notamment valoir qu’à l’époque des opérations de contrôle, les abonnés étaient incités à modifier leur mot de passe sur leur espace abonné. Elle indique, en outre, que le mot de passe initial qu’elle a attribué présente un niveau de robustesse élevé et que l’espace abonné permet uniquement d’accéder à des informations basiques et non à des informations sensibles. La société indique également avoir cessé de stocker en clair des mots de passe au sein de la base de données et d’avoir cessé de communiquer des mots de passe en clair.	55. Il résulte des dispositions de l’article 32 du RGPD que le responsable de traitement est tenu de s’assurer que le traitement automatisé de données qu’il met en œuvre est suffisamment sécurisé. Le caractère suffisant des mesures de sécurité s’apprécie, d’une part, au regard des caractéristiques du traitement et des risques qu’il induit, d’autre part, en tenant compte de l’état de connaissances et du coût des mesures. La mise en place d’une politique d’authentification robuste constitue une mesure élémentaire de sécurité qui participe généralement au respect des obligations de l’article 32 du RGPD. - 57. La Commission recommande [...] que, pour satisfaire aux exigences de robustesse des mots de passe et assurer un niveau de sécurité suffisant, lorsque l’authentification repose, comme en l’espèce, sur un identifiant et un mot de passe, sans mise en place d’une mesure de sécurité complémentaire, le mot de passe comporte au minimum douze caractères et contienne au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial. À défaut, la Commission recommande qu’un mot de passe comporte au moins huit caractères, contenant trois des quatre catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux), à condition qu’il s’accompagne d’une mesure de sécurité complémentaire afin d’assurer un niveau de sécurité et de confidentialité suffisant.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Cliquer pour accéder à la décision
Avis 2022-023	Avis sur projet de décret, CESE	17/02/2022	2022	France	CNIL ou équivalent	Journalisation		Traitements mis en œuvre par le CESE dans le cadre des saisines par voie de pétition - Journalisation	La Commission nationale de l’informatique et des libertés (ci-après "la Commission ") a été saisie en urgence par le ministère de la justice d’un projet de décret portant application de l’article 4-1 de l'ordonnance n° 58-1360 du 29 décembre 1958 portant loi organique relative au Conseil économique, social et environnemental (CESE). Une saisine rectificative lui a été transmise le 22 décembre 2021. Le projet de décret vise à préciser les modalités et les conditions de recevabilité de la saisine du CESE par voie de pétition. Il définit les informations collectées auprès des signataires des pétitions et en détermine la durée de conservation. A propos du débat concernant la journalisation, le ministère estime que l’article 32 du RGPD n’impose pas de prévoir dans l’acte instaurant le traitement un système de journalisation et qu’un tel système n’est pas nécessaire en l’espèce.	(15.) [Dans le cadre concerné,] la Commission considère comme indispensable la mise en place d’un système de journalisation, permettant de conserver une trace des opérations de consultation, création et modification des données, conforme à sa délibération n° 2021-122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation. En particulier, une durée de conservation des journaux de six à douze mois est préconisée, et ces journaux doivent faire l’objet d’un contrôle automatique régulier, afin de détecter les comportements anormaux et de générer des alertes le cas échéant. Le traitement proactif de ces journaux est d’autant plus pertinent que les données relatives à une pétition ont vocation à être traitées rapidement et peuvent conduire à des prises de décisions significatives pour l’institution et la société. Si aucune disposition du RGPD n’impose effectivement de prévoir un système de journalisation dans l’acte réglementaire créant le traitement, la Commission rappelle que le fait de le prévoir dans le décret oblige l’administration à le mettre en place et constitue une garantie importante.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Cliquer pour accéder à la décision
SAN-2021-021	FREE	28/12/2021	2021	France	CNIL ou équivalent	Authentification		Transmission en clair d’un mot de passe permanent - Manquement à l’obligation de sécurité	Entre le mois de décembre 2018 et le mois de novembre 2019, la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a été saisie de 19 plaintes à l’encontre de la société FREE. Faisant suite à des controles et à l’issue de l'instruction, le rapporteur a, le 2 août 2021, fait notifier à la société [...] un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité le traitement avec les dispositions des articles 15, 16, 21, 25 et 32 du RGPD. La société fait notamment valoir qu’à l’époque des opérations de contrôle, les abonnés étaient incités à modifier leur mot de passe sur leur espace abonné et sensibilisés sur l’importance de garder ces mots de passe confidentiels. Elle indique en outre que le mot de passe initial attribué par la société [...] présente un niveau de robustesse élevé. Elle précise enfin que l’espace abonné permet uniquement d’accéder à des informations " basiques " et non à des informations sensibles.	104. [...] La transmission, en clair, d’un mot de passe qui n’est ni temporaire, ni à usage unique et dont le renouvellement n’est pas imposé, le rend aisément et immédiatement utilisable par un tiers qui aurait un accès indu au message qui le contient. Ce tiers pourrait ainsi accéder à toutes les données à caractère personnel présentes dans le compte utilisateur [...] de la personne concernée (notamment les nom, prénom, numéro de ligne mobile, adresse postale, adresse électronique, relevé d’identité bancaire, numéro de ligne mobile). Il pourrait également accéder à sa messagerie vocale, télécharger ses factures et le relevé de ses consommations, procéder à la modification du mot de passe, de l’adresse électronique ou des options du compte. Le fait que le mot de passe soit en lui-même robuste et que les personnes soient incitées à modifier leur mot de passe ne suffit pas à compenser ces risques, qui peuvent notamment entraîner des usurpations d’identité et des tentatives d’hameçonnage. Dès lors, la prise en compte de ces risques pour la protection des données à caractère personnel et de la vie privée des personnes conduit la formation restreinte à considérer que les mesures déployées pour garantir la sécurité des données en l’espèce sont insuffisantes.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Cliquer pour accéder à la décision
SAN-2021-008	Brico privé	14/06/2021	2021	France	CNIL ou équivalent			Caractérisation du manquement à l’obligation de sécurité du traitement - L’absence de violation de données ne suffit pas à démontrer l’absence de manquement - Appréciation, par la CNIL, des mesures techniques et organisationnelles mises en œuvre par le responsable de traitement ou le sous-traitant	Faisant suite à une mission de contrôle,le 2 octobre 2020, la rapporteure a fait notifier à la société Brico privé un rapport détaillant les manquements au RGPD qu’elle estimait constitués. >e rapport proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité le traitement avec les dispositions des articles L. 34-5 du code des postes et des communications électroniques (ci-après le " CPCE "), 82 de la loi Informatique et Libertés et 5-1-e), 13, 17 et 32 du RGPD S'agissant de l'article 32 du RGPD, la société ne conteste pas les faits reprochés (notamment le fait que l'authenfication à la création d'un compte reposait sur le mot de passe "123456"), mais soutient que l’obligation de sécurité résultant de l’article 32 du RGPD était une obligation de moyen et non de résultat, de sorte que l’obligation de sécurité du responsable du traitement consiste à mettre en œuvre les mesures permettant de réduire les risques à un niveau acceptable, sans qu’il soit obligatoire, ni même possible, d’obtenir un niveau de sécurité les rendant nuls. La société a également souligné qu’elle n’a jamais subi de violation de données à caractère personnel.	66. La formation restreinte considère que l’absence de violation de données à caractère personnel ne suffit pas à démontrer l’absence de manquement aux obligations de sécurité résultant de l’article 32 du RGPD, pas plus qu’une violation de données ne suffit à caractériser en soi un manquement. Il appartient à la formation restreinte de vérifier que le responsable de traitement ou, le cas échéant, le sous-traitant, a mis en œuvre, en application de cet article, des mesures techniques et organisationnelles appropriées pour prévenir les risques de violations et de mésusage de ces données. Le caractère approprié des mesures s’apprécie en vérifiant que le mis en cause a proportionné ces mesures, en l’état des informations dont il pouvait disposer par des diligences raisonnables, à la gravité et à la probabilité des risques prévisibles, en fonction de la nature et du contexte du traitement de données, ainsi que du coût et de la complexité des mesures possibles.	32	c9a79ac93c358874ab99f40683428a9fb7bd666c		Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

UODO (autorité polonaise)

02 décembre 2024

Ordinateur portable perdu avec des données : l’autorité polonaise sanctionne des scouts à hauteur de 24 555 PLN (environ 5700 euros) Aujourd’hui, le président de l’UODO a imposé une amende de 24 000 555 PLN à la Stołeczna Chorąg ZHP (le Cercle Régional des Scouts de Varsovie) pour n’avoir pas mis en œuvre les mesures techniques […]

Disponible sur: veille.portail-rgpd.com

PIPC (autorité coréenne)

28 novembre 2024

La Commission de Protection des Données Personnelles inflige une amende de 1,588,650,000 won (environ 1,67 millions d’euros) à Coupang pour violation des obligations de sécurité La Commission de Protection des Données Personnelles (présidée par Koh Hak-soo, ci-après « la Commission ») a décidé le 27 novembre de sanctionner Coupang Co., Ltd. (ci-après « Coupang ») […]

Disponible sur: veille.portail-rgpd.com

PIPC (autorité coréenne)

14 novembre 2024

Sanctions contre deux universités n’ayant pas appliqué un patch de sécurité vieux de 6 ans La Commission de protection des informations personnelles (Président Ko Hak-soo, ci-après dénommée « Commission des informations personnelles ») a annoncé avoir a voté l’imposition d’un total de 235,8 millions KRW d’amendes (environ 160 000 euros) et de 6,6 millions KRW […]

Disponible sur: veille.portail-rgpd.com

UODO (autorité polonaise)

13 novembre 2024

Amende de 350 000 PLN pour une société vendant des portes anti-effraction pour … non-respect des règles de protection des données Aujourd’hui, l’autorité polonaise a annoncé avoir infligé une amende de plus de 350 000 PLN (environ 80 000 euros) à une société vendant, entre autres, des portes anti-effraction, pour non-respect des règles de protection […]

Disponible sur: veille.portail-rgpd.com

Datatilsynet (autorité danoise)

12 novembre 2024

La commune de Brøndby fait l’objet d’une réprimande pour le manque de mesures de sécurité de ses données À l’automne 2023, l’Agence danoise de protection des données a procédé à une inspection de la municipalité de Brøndby, en se concentrant sur deux thèmes clés : le contrôle périodique des droits d’accès et l’utilisation de l’authentification […]

Disponible sur: veille.portail-rgpd.com

UODO (autorité polonaise)

08 novembre 2024

L’autorité polonaise condamne 3 institutions pour avoir perdu une clé USB contenant les données RH et de paie de 1500 personnes Le Président de l’UODO a imposé des amendes de 15 000 PLN et 20 000 PLN (environ 8000 euros au total) à deux institutions municipales de Kutno pour, entre autres, ne pas avoir mis […]

Disponible sur: veille.portail-rgpd.com

PIPC (autorité coréenne)

05 novembre 2024

La PIPC sanctionne deux entreprises pour violation de leurs obligations en matière de sécurité L’autorité de protection des données coréennes (Président Ko Hak-soo, ci-après « PIPC ») a tenu sa 18e réunion plénière le 4 novembre (lundi) et a décidé d’imposer une amende totale de 60,69 millions de wons (environ 40 000 euros) et une amende administrative […]

Disponible sur: veille.portail-rgpd.com

PIPC (autorité coréenne)

05 novembre 2024

Le Comité de protection des données personnelles sanctionne Meta pour la collecte et l’utilisation d’informations sensibles sans base légale … mais pas que Le 4 novembre, l’autorité de protection des données sud-coréenne (présidé par Ko Hak-soo, ci-après « PIPC ») a tenu sa 18e réunion plénière et a décidé d’imposer une amende administrative de 21,6 […]

Disponible sur: veille.portail-rgpd.com

L’Usine digitale

05 novembre 2024

Cybersécurité : Schneider Electric victime d’une nouvelle fuite de données Schneider Electric a annoncé le 4 novembre qu’elle enquêtait sur un “incident de cybersécurité impliquant un accès non autorisé” touchant l’une de ses “plateformes internes de suivi de l’exécution de projets”, a révélé le média spécialisé Bleeping Computer. La société précise que le fonctionnement de […]

Disponible sur: veille.portail-rgpd.com