Article
En savoir plus...
Jurisprudence
Actualités
Article 32 - Sécurité du traitement
1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:- a) la pseudonymisation et le chiffrement des données à caractère personnel;
- b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
- d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.
En savoir plus...
L'article 32, paragraphe 1, du RGPD reflète le principe d'intégrité et de confidentialité énoncé à l'article 5, paragraphe 1, point f), du RGPD. Le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin d'atteindre un niveau de sécurité adéquat, en tenant compte de l'état de la technique, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement. Il convient également de prendre en considération l'impact du traitement sur les droits et libertés des personnes physiques,Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Responsabilités du responsable de traitement]
74. Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.
[Risques pours les droits et libertés de personnes physiques]
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
[Evaluer les risques pour les personnes concernées]
76. Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.
[Recommandations sur l'évaluation des risques]
77. Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d'indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.
[Mesures techniques et organisationnelles appropriées]
78. La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d'être en mesure de démontrer qu'il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.
[Claire répartition des responsabilités]
79. La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'une opération de traitement est effectuée pour le compte d'un responsable du traitement.
[Evaluer et maîtriser les risques]
83. Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l'état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l'évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral.
74. Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.
[Risques pours les droits et libertés de personnes physiques]
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
[Evaluer les risques pour les personnes concernées]
76. Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.
[Recommandations sur l'évaluation des risques]
77. Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d'indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.
[Mesures techniques et organisationnelles appropriées]
78. La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d'être en mesure de démontrer qu'il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.
[Claire répartition des responsabilités]
79. La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'une opération de traitement est effectuée pour le compte d'un responsable du traitement.
[Evaluer et maîtriser les risques]
83. Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l'état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l'évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral.
Droit souple
Lignes directrices et recommandations
> CNIL - Recommandations - Authentification multifacteur
20 mars 2025
> CNIL - Recommandations - Mots de passe
17 octobre 2022
> CNIL - Recommandations - La journalisation
14 octobre 2021
> ANSSI - Recommandations - Authentification multifacteur et mots de passe
8 octobre 2021
Guides pratiques
> CNIL - Guide pratique - Sécurité des données personnelles v2024
22 mars 2024
Documents anciens
> CNIL - Guide pratique - Sécurité des données personnelles v2023
03 avril 2023
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 40 - Codes de conduite
> Article 42 - Certification
Cet article est cité par...
> Article 28 - Sous-traitant
> Article 30 - Registre des activités de traitement
> Article 40 - Codes de conduite
> Article 83 - Conditions générales pour imposer des amendes administratives
Autres textes liés
> Article 5 - Principes relatifs au traitement des données à caractère personnel
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-687/21 | MediaMarktSaturn | 25/01/2024 | Rupture de la confidentialité des données liée à une erreur - Présomption d'insuffisance des mesures techniques et organisationnelle - Absence | Lien | A classer | Cour de Justice de l'UE | 2024 | |
| C-667/21 | Krankenversicherung Nordrhein | 21/12/2023 | Médecine préventive et du travail - Condition de validité relative à l'absence d'accès par des collègues de la personne concernée - Absence mais obligation à laquelle le responsable peut-être soumis | Lien | Médecine préventive et du travail, Confidentialité, Besoin d'en connaître | Santé, Travail | Cour de Justice de l'UE | 2023 |
| C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | Violation de données - Présomption irréfragable d'insuffisance des mesures de sécurité - Absence | Lien | A classer | Cour de Justice de l'UE | 2023 | |
| C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | Caractère approprié des mesures de sécurité - Appréciation concrète par les juges du fond - Prise en compte des risques liés au traitement | Lien | A classer | Cour de Justice de l'UE | 2023 | |
| C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | Caractère approprié des mesures de sécurité - Charge de la preuve supportée par le responsable de traitement | Lien | A classer | Cour de Justice de l'UE | 2023 | |
| C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | Caractère approprié des mesures de sécurité - Expertise judiciaire comme moyen de preuve - Systématiquement nécessaire et suffisant - Absence | Lien | Cour de Justice de l'UE | 2023 | ||
| MED-2023-019 | Société X | 06/04/2023 | Sécurité des logiciels - Obligation d’utiliser une version suivie intégrant les correctifs de sécurité - Version d’un logiciel n’étant plus suivie - Utilisation temporaire - Admissibilité selon la sensibilité des données traitées et les risques encourus par les personnes | Lien | Maintenance | CNIL ou équivalent | 2023 | |
| SAN-2022-022 | FREE | 30/11/2022 | Caractère suffisant des mesures de sécurité - 1) Critères d’appréciation - 2) Exigences de robustesse des mots de passe | Lien | Authentification | CNIL ou équivalent | 2022 | |
| SAN-2022-021 | EDF | 24/11/2022 | Caractère suffisant des mesures de sécurité - 1) Critères d’appréciation - Analyse de risques - 2) Politique d’authentification robuste - Stockage des mots de passe - Fonction de hachage MD5 - Algorithme faible | Lien | Authentification | CNIL ou équivalent | 2022 | |
| 452969 | M. B… A… | 22/06/2022 | Mesure consistant à réserver l’accès à un fichier à des personnes spécialement habilitées - Incidence d’une irrégularité sur la décision prise après la consultation du fichier - Cas d’un agrément refusé après consultation du TAJ | Lien | Besoin d'en connaître | Police-Justice | Conseil d'Etat | 2022 |
| 449284 | Optical Center | 26/04/2022 | Obligation de sécurité - Manquements - Absence de contrôle régulier des mesures techniques et organisationnelles prises par le sous-traitant - Insuffisance de la politique de mots de passe | Lien | Authentification, Maintenance | Conseil d'Etat | 2022 | |
| Avis 2022-021 | Avis sur projet de décret | 17/02/2022 | Signalements dans un fichier par des zones de texte libre - Garantie possible pour compenser les risques induits par ces zones - Impossibilité de rechercher dans le fichier à partir des mots dans les signalements | Lien | Robustesse des mesures | CNIL ou équivalent | 2022 | |
| Avis 2022-023 | Avis sur projet de décret, CESE | 17/02/2022 | Traitements mis en œuvre par le CESE dans le cadre des saisines par voie de pétition - Journalisation | Lien | Journalisation | CNIL ou équivalent | 2022 | |
| SAN-2021-021 | FREE | 28/12/2021 | Transmission en clair d’un mot de passe permanent - Manquement à l’obligation de sécurité | Lien | Authentification | CNIL ou équivalent | 2021 | |
| SAN-2021-019 | RATP | 29/10/2021 | Mesures appropriées pour assurer la confidentialité des données - Information des utilisateurs du système et contrôle de l’usage aux moyens de journaux de connexion - Gestion des habilitations | Lien | Besoin d'en connaître, Journalisation | CNIL ou équivalent | 2021 | |
| Avis 2021-082 | Avis sur projet de décret, livret de parcours inclusif (LPI) | 15/07/2021 | Identifiant spécifique et distinct de l’identifiant national pour la mise en œuvre d’un traitement spécifique - Limitation des risques de réidentification des personnes en cas de fuite de données | Lien | Cloisonnement | Jeunesse et éducation | CNIL ou équivalent | 2021 |
| SAN-2021-008 | Brico privé | 14/06/2021 | Caractérisation du manquement à l’obligation de sécurité du traitement - L’absence de violation de données ne suffit pas à démontrer l’absence de manquement - Appréciation, par la CNIL, des mesures techniques et organisationnelles mises en œuvre par le responsable de traitement ou le sous-traitant | Lien | A classer | CNIL ou équivalent | 2021 | |
| 2021-917 QPC | Union nationale des syndicats autonomes de la fonction publique | 11/06/2021 | Communication de données de santé (médicales) - Finalité de contrôle administratif des congés d’invalidité - Atteinte disproportionnée au droit au respect de la vie privée - Admission en l’espèce | Lien | Minimisation, Besoin d'en connaître | Administration, Santé | Conseil constitutionnel | 2021 |
| 437993 | Union des syndicats CGT des agents de l’AP-HM | 26/01/2021 | Élections des représentants du personnel - Vote électronique par internet - Protection du caractère personnel du vote - Modalités retenues n’offrant pas une protection du caractère personnel du vote d'un niveau équivalent à celui des autres modalités de vote | Lien | Authentification | Conseil d'Etat | 2021 | |
| SAN-2021-002 | Société X | 08/01/2021 | Répartition des responsabilités entre responsable de traitement et sous-traitant - Solutions techniques et organisationnelles de sécurité adéquates - Responsabilité du sous-traitant - Existence | Lien | Contractualisation, Responsabilité | CNIL ou équivalent | 2021 | |
| 2020-800 QC | Loi autorisant la prorogation de l'état d'urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire | 11/05/2020 | Extension de l’accès aux données des personnes atteintes de la COVID-19 - Respect du droit à la vie privée - Conditions : strict respect du besoin d'en connaitre | Lien | Confidentialité, Besoin d'en connaître | Santé | Conseil constitutionnel | 2020 |
| Avis 396472 | Projet de décret (production des certificats de membre d'équipage sécurisés biométriques) | 05/02/2019 | Données biométriques - Collecte par des personnels spécifiquement désignés par les compagnies aériennes - Exigence d'une connexion internet sécurisée répondant aux normes du référentiel général de sécurité (RGS) et de certificats d'authentification | Lien | Actes réglementaires | Administration | Conseil d'Etat | 2019 |
Actualités
Profitez de nos actualités en lien avec cet article !PIPC (autorité coréenne)
17 avril 2025
La PIPC a sanctionné deux entreprises pour violation des lois sur la protection des données personnelles, y compris le non-respect des obligations de sécurité.
La Commission de protection des informations personnelles (présidée par Go Hak-soo, ci-après « Commission ») a aujourd’hui annoncé avoir décidé d’imposer un total de 58,51 millions de won de pénalités administratives et 14,1 millions de won d’amendes [...]
UODO (autorité polonaise)
16 avril 2025
Des pompes funèbres condamnés à une amende de 7 700 euros en raison de cartons tombés du camion
Le président de l’UODO, MirosÅ‚aw Wróblewski, a aujourd’hui annoncé avoir infligé une amende de 33 000 zÅ‚ (soit environ 7 700 euros) à une entreprise de pompes funèbres de PuÅ‚aw, qui n’avait pas mis en place les mesures organisationnelles et techniques appropriées pour protéger les données personnelles conten [...]
PIPC (autorité coréenne)
10 avril 2025
En Corée du Sud, deux entreprises sanctionnées pour des manquements en matière de sécurité
La Commission de protection des informations personnelles (présidée par Koh Hak-su, ci-après « la Commission ») a aujourd’hui annoncé avoir infligé un total de 58,51 millions de wons d’amende administrative et 14,1 millions de wons d’amendes (soit environ 45 000 euros au total) à deux opérateurs qui ont violé les [...]
AEPD (autorité espagnole)
09 avril 2025
Une société condamnée à 8 000 euros d’amende pour avoir fusionné par erreur des tickets ouverts par des clients
L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de la société ALL ABOUT WATER, S.L. pour avoir divulgué des données personnelles à un tiers suite à une erreur de manipulation de tickets de service client et, en conséquence, pour ne pas avoir mis en place des mesures techn [...]
AEPD (autorité espagnole)
04 avril 2025
11 000 euros d’amende contre GRUAS IGNACI pour manquements à plusieurs grands piliers du RGPD
L’autorité espagnole de protection des données (AEPD) a publié une décision de sanction à l’encontre de la société GRUAS IGNACI, S.L. pour plusieurs violations potentielles du Règlement Général sur la Protection des Données (RGPD). L’affaire a débuté par une réclamation d’un particulier qui, lors de la récupération de son [...]
CNIL
31 mars 2025
Authentification multifacteur : les recommandations de la CNIL pour mieux protéger les données
La CNIL souhaite promouvoir des solutions de cybersécurité conformes au RGPD, tant dans leur usage que dès leur conception. Dans ce but, elle publie une recommandation destinée à accompagner les utilisateurs et les fournisseurs de solutions d’authentification multifacteur.
Cette recommandation vise en particulier [...]
ICO (autorité anglaise)
27 mars 2025
Fournisseur de logiciels condamné à une amende de 3 millions de livres sterling suite à une attaque par ransomware en 2022
L’ICO a aujourd’hui annoncé avoir infligé une amende de 3,07 millions de livres sterling (soit à peu près la même somme en euros) à Advanced Computer Software Group Ltd (Advanced) pour des manquements en matière de sécurité qui ont mis en danger les informations personnelles de 79 404 pe [...]
CNIL
20 mars 2025
Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation
À la suite de contrôles et de mises en demeure de plusieurs établissements de santé, la CNIL a élaboré un projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI). Le document, qui rappelle également les règles applicables, est soumis à consultation publique jusqu [...]
AEPD (autorité espagnole)
18 mars 2025
En Espagne, la banque Caixa condamnée à une amende de 3,5 millions d’euros suite à une violation: une mère accédait au compte commun entre son enfant et un tiers
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de CAIXABANK, S.A. en lien avec une fuite de données personnelles. Cette procédure fait suite à une réclamation portant sur le [...]
AEPD (autorité espagnole)
18 mars 2025
BeeDigital condamné pour traitement excessif de données liées à l’équivalent espagnol du « Bloctel » des emails commerciaux
L’autorité espagnole a aujourd’hui annoncé avoir prononcé une amende de 150 000 euros à l’encontre de la société BeeDigital pour un manquement en matière de minimisation des données. Comme souvent, cette affaire débute avec une plainte: en l’occurrence, d’un plai [...]
<< Retourner au menu