Article
En savoir plus...
Jurisprudence
Actualités
Article 32 - Sécurité du traitement
1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:- a) la pseudonymisation et le chiffrement des données à caractère personnel;
- b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
- c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
- d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.
En savoir plus...
L'article 32 impose au responsable du traitement et au sous-traitant de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles. Ces mesures doivent être adaptées aux risques identifiés, à la nature du traitement et aux coûts raisonnables, et peuvent inclure le chiffrement, la pseudonymisation, ou encore des systèmes assurant la confidentialité, l'intégrité et la résilience des données. Des procédures régulières d’évaluation de ces mesures doivent être mises en place. La sécurité est évaluée en tenant compte des risques tels que la perte, l’altération ou l’accès non autorisé aux données. Enfin, toute personne accédant aux données doit agir uniquement sur instruction, sauf obligation légale contraire, assurant ainsi une stricte maîtrise des accès. L’adhésion à un code de conduite ou une certification peut aider à démontrer cette conformité.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Responsabilités du responsable de traitement]
74. Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.
[Risques pours les droits et libertés de personnes physiques]
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
[Evaluer les risques pour les personnes concernées]
76. Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.
[Recommandations sur l'évaluation des risques]
77. Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d'indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.
[Mesures techniques et organisationnelles appropriées]
78. La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d'être en mesure de démontrer qu'il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.
[Claire répartition des responsabilités]
79. La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'une opération de traitement est effectuée pour le compte d'un responsable du traitement.
[Evaluer et maîtriser les risques]
83. Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l'état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l'évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral.
74. Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.
[Risques pours les droits et libertés de personnes physiques]
75. Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d'entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d'identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d'exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l'appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l'analyse ou de la prédiction d'éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d'intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d'utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
[Evaluer les risques pour les personnes concernées]
76. Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l'objet d'une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.
[Recommandations sur l'évaluation des risques]
77. Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d'indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.
[Mesures techniques et organisationnelles appropriées]
78. La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d'être en mesure de démontrer qu'il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.
[Claire répartition des responsabilités]
79. La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d'autres responsables du traitement, ou lorsqu'une opération de traitement est effectuée pour le compte d'un responsable du traitement.
[Evaluer et maîtriser les risques]
83. Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l'état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l'évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d'entraîner des dommages physiques, matériels ou un préjudice moral.
Droit souple
Lignes directrices et recommandations
> CNIL – Recommandations – Authentification multifacteur
20 mars 2025
> CNIL РRecommandations 2022-100 РMots de passe et autres secrets partag̩s
21 juillet 2022
> CNIL – Recommandations 2021-122 – Journalisation
14 octobre 2021
> ANSSI – Recommandations ANSSI-PG-078 – Authentification multifacteur et mots de passe
8 octobre 2021
Guides pratiques
> CNIL – Guide pratique – Les violations de données dans l’éducation (pour les DPO)
15 mai 2025
> CNIL – Guide pratique – Les violations de données dans l’éducation (pour les établissements)
15 mai 2025
> CNIL РGuide pratique РS̩curit̩ des donn̩es personnelles (v2024)
22 mars 2024
> CNIL РGuide pratique РObligations et responsabilit̩s des collectivit̩s locales en mati̬re de cybers̩curit̩
4 juillet 2022
Documents anciens
> CNIL РGuide pratique РS̩curit̩ des donn̩es personnelles (v2023)
3 avril 2023, Document ancien
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 40 - Codes de conduite
> Article 42 - Certification
Cet article est cité par...
> Article 28 - Sous-traitant
> Article 30 - Registre des activités de traitement
> Article 40 - Codes de conduite
> Article 83 - Conditions générales pour imposer des amendes administratives
Autres textes liés
> Article 5 - Principes relatifs au traitement des données à caractère personnel
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL – Recommandations – Applications mobiles
8 avril 2025
> CNIL РRecommandations РUtilisation des donn̩es de localisation des v̩hicules connect̩s
25 mars 2025 (Projet, Ouvert à consultation publique)
> EDPB – Lignes directrices 2/2023 – Champ d’application technique de l’article 5,3 de la directive ePrivacy (2002/58/CE)
7 octobre 2024 (v2.0)
> CNIL РRecommandations РR̩utilisateurs de donn̩es publi̩es sur Internet
12 juin 2024
> CNIL РRecommandations РDispositifs de vid̩osurveillance au sein des chambres des Ehpads
29 février 2024
> CNIL – Recommandations – Utilisation des interfaces de programmation applicatives (API)
7 juillet 2023
> CNIL РRecommandations РT̩l̩surveillance pour les examens en ligne
8 juin 2023
> EDPB – Lignes directrices 02/2021 – Assistants vocaux virtuels
7 juillet 2021 (v2.0)
> EDPB РLignes directrices 8/2020 РLe ciblage des utilisateurs de m̩dias sociaux
13 avril 2021 (v2.0)
> EDPB – Lignes directrices 01/2020 – Véhicules connectés et applications liées à la mobilité
9 mars 2021 (v2.0)
> EDPB – Lignes directrices 6/2020 – L’interaction entre la deuxième directive sur les services de paiement et le RGPD
15 décembre 2020 (v2.0)
> CNIL – Lignes directrices – Cookies et autres traceurs
17 septembre 2020
> CNIL – Recommandations – Cookies et autres traceurs
17 septembre 2020
> EDPB – Lignes directrices 3/2019 – Le traitement des données à caractère personnel par des dispositifs vidéo
29 janvier 2020 (v2.0)
Référentiels
> CNIL – Référentiel – Mise en oeuvre d’un dispositif d’alerte professionnelle
6 juillet 2023
> CNIL РR̩f̩rentiel РGestion des officines de pharmacie
18 juillet 2022
> CNIL РR̩f̩rentiel РGestion des activit̩s commerciales
3 février 2022
> CNIL РR̩f̩rentiel РGestion des impay̩s dans une transaction commerciale
3 février 2022
> CNIL – Référentiel – Protection de l’enfance et des jeunes majeurs de moins de 21 ans
20 janvier 2022
> CNIL РR̩f̩rentiel РGestion locative
6 mai 2021
> CNIL РR̩f̩rentiel РAccueil, h̩bergement et accompagnement social et m̩dico-social des personnes ̢g̩es, des personnes en situation de handicap et de celles en difficult̩
11 mars 2021
> CNIL РR̩f̩rentiel РGestion du personnel
21 novembre 2019
Guides pratiques
> CNIL РGuide pratique РEquipe de d̩veloppement
13 décembre 2021 ((sur le github de la CNIL))
> CNIL РGuide pratique РSensibilisation pour les collectivit̩s territoriales
18 septembre 2019
> CNIL – Guide pratique – L’Ordre des médecins
1 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| MED-2024-056 | Centre hospitalier régional X | 26/04/2024 | Dossiers Patients Informatisés (DPI) - Politique de gestion des accès et d'habilitation des personnels - Application | Lien | Authentification | Santé | CNIL ou équivalent | 2024 |
| MED-2024-112 | Société X | 06/08/2024 | Accès à des données personnelles non publiques - Utilisation de compte partagés - 1) Cas général - Manquement en principe - 2) Cas des administrateurs - Manquement grave en principe | Lien | Authentification, Confidentialité | CNIL ou équivalent | 2024 | |
| ROL-2024-049 | Société X | 23/04/2024 | Envoi de courriels à un ensemble de destinataires - Utilisation de la fonction « copie carbone invisible » (Cci) - Obligation, selon les circonstances (nombre de destinataires, qualité, etc.) | Lien | Confidentialité, Besoin d'en connaître | CNIL ou équivalent | 2024 | |
| C-687/21 | MediaMarktSaturn | 25/01/2024 | Rupture de la confidentialité des données liée à une erreur - Présomption d'insuffisance des mesures techniques et organisationnelle - Absence | Lien | A classer | Cour de Justice de l'UE | 2024 | |
| SAN-2023-023 | NS CARDS France | 29/12/2023 | Caractère suffisant des mesures de sécurité - Fonction de hachage SHA-1 - Probable manquement à l'obligation de sécurité des données | Lien | Robustesse des mesures | CNIL ou équivalent | 2023 | |
| C-667/21 | Krankenversicherung Nordrhein | 21/12/2023 | Médecine préventive et du travail - Condition de validité relative à l'absence d'accès par des collègues de la personne concernée - Absence mais obligation à laquelle le responsable peut-être soumis | Lien | Médecine préventive et du travail, Confidentialité, Besoin d'en connaître | Santé, Travail | Cour de Justice de l'UE | 2023 |
| C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | Violation de données - Présomption irréfragable d'insuffisance des mesures de sécurité - Absence | Lien | A classer | Cour de Justice de l'UE | 2023 | |
| C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | Caractère approprié des mesures de sécurité - Appréciation concrète par les juges du fond - Prise en compte des risques liés au traitement | Lien | A classer | Cour de Justice de l'UE | 2023 | |
| C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | Caractère approprié des mesures de sécurité - Charge de la preuve supportée par le responsable de traitement | Lien | A classer | Cour de Justice de l'UE | 2023 | |
| C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | Caractère approprié des mesures de sécurité - Expertise judiciaire comme moyen de preuve - Systématiquement nécessaire et suffisant - Absence | Lien | Cour de Justice de l'UE | 2023 | ||
| MED-2023-019 | Société X | 06/04/2023 | Sécurité des logiciels - Obligation d’utiliser une version suivie intégrant les correctifs de sécurité - Version d’un logiciel n’étant plus suivie - Utilisation temporaire - Admissibilité selon la sensibilité des données traitées et les risques encourus par les personnes | Lien | Maintenance | CNIL ou équivalent | 2023 | |
| SAN-2022-022 | FREE | 30/11/2022 | Caractère suffisant des mesures de sécurité - 1) Critères d’appréciation - 2) Exigences de robustesse des mots de passe | Lien | Authentification | CNIL ou équivalent | 2022 | |
| SAN-2022-021 | EDF | 24/11/2022 | Caractère suffisant des mesures de sécurité - 1) Critères d’appréciation - Analyse de risques - 2) Politique d’authentification robuste - Stockage des mots de passe - Fonction de hachage MD5 - Algorithme faible | Lien | Authentification | CNIL ou équivalent | 2022 | |
| 452969 | M. B… A… | 22/06/2022 | Mesure consistant à réserver l’accès à un fichier à des personnes spécialement habilitées - Incidence d’une irrégularité sur la décision prise après la consultation du fichier - Cas d’un agrément refusé après consultation du TAJ | Lien | Besoin d'en connaître | Police-Justice | Conseil d'Etat | 2022 |
| 449284 | Optical Center | 26/04/2022 | Obligation de sécurité - Manquements - Absence de contrôle régulier des mesures techniques et organisationnelles prises par le sous-traitant - Insuffisance de la politique de mots de passe | Lien | Authentification, Maintenance | Conseil d'Etat | 2022 | |
| Avis 2022-021 | Avis sur projet de décret | 17/02/2022 | Signalements dans un fichier par des zones de texte libre - Garantie possible pour compenser les risques induits par ces zones - Impossibilité de rechercher dans le fichier à partir des mots dans les signalements | Lien | Robustesse des mesures | CNIL ou équivalent | 2022 | |
| Avis 2022-023 | Avis sur projet de décret, CESE | 17/02/2022 | Traitements mis en œuvre par le CESE dans le cadre des saisines par voie de pétition - Journalisation | Lien | Journalisation | CNIL ou équivalent | 2022 | |
| SAN-2021-021 | FREE | 28/12/2021 | Transmission en clair d’un mot de passe permanent - Manquement à l’obligation de sécurité | Lien | Authentification | CNIL ou équivalent | 2021 | |
| SAN-2021-019 | RATP | 29/10/2021 | Mesures appropriées pour assurer la confidentialité des données - Information des utilisateurs du système et contrôle de l’usage aux moyens de journaux de connexion - Gestion des habilitations | Lien | Besoin d'en connaître, Journalisation | CNIL ou équivalent | 2021 | |
| Avis 2021-082 | Avis sur projet de décret, livret de parcours inclusif (LPI) | 15/07/2021 | Identifiant spécifique et distinct de l’identifiant national pour la mise en œuvre d’un traitement spécifique - Limitation des risques de réidentification des personnes en cas de fuite de données | Lien | Cloisonnement | Jeunesse et éducation | CNIL ou équivalent | 2021 |
| SAN-2021-008 | Brico privé | 14/06/2021 | Caractérisation du manquement à l’obligation de sécurité du traitement - L’absence de violation de données ne suffit pas à démontrer l’absence de manquement - Appréciation, par la CNIL, des mesures techniques et organisationnelles mises en œuvre par le responsable de traitement ou le sous-traitant | Lien | A classer | CNIL ou équivalent | 2021 | |
| 2021-917 QPC | Union nationale des syndicats autonomes de la fonction publique | 11/06/2021 | Communication de données de santé (médicales) - Finalité de contrôle administratif des congés d’invalidité - Atteinte disproportionnée au droit au respect de la vie privée - Admission en l’espèce | Lien | Minimisation, Besoin d'en connaître | Administration, Santé | Conseil constitutionnel | 2021 |
| 437993 | Union des syndicats CGT des agents de l’AP-HM | 26/01/2021 | Élections des représentants du personnel - Vote électronique par internet - Protection du caractère personnel du vote - Modalités retenues n’offrant pas une protection du caractère personnel du vote d'un niveau équivalent à celui des autres modalités de vote | Lien | Authentification | Conseil d'Etat | 2021 | |
| SAN-2021-002 | Société X | 08/01/2021 | Répartition des responsabilités entre responsable de traitement et sous-traitant - Solutions techniques et organisationnelles de sécurité adéquates - Responsabilité du sous-traitant - Existence | Lien | Contractualisation, Responsable de traitement, Sous-traitant | CNIL ou équivalent | 2021 | |
| 2020-800 QC | Loi autorisant la prorogation de l'état d'urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire | 11/05/2020 | Extension de l’accès aux données des personnes atteintes de la COVID-19 - Respect du droit à la vie privée - Conditions : strict respect du besoin d'en connaitre | Lien | Confidentialité, Besoin d'en connaître | Santé | Conseil constitutionnel | 2020 |
| Avis 396472 | Projet de décret (production des certificats de membre d'équipage sécurisés biométriques) | 05/02/2019 | Données biométriques - Collecte par des personnels spécifiquement désignés par les compagnies aériennes - Exigence d'une connexion internet sécurisée répondant aux normes du référentiel général de sécurité (RGS) et de certificats d'authentification | Lien | Actes réglementaires | Administration | Conseil d'Etat | 2019 |
Actualités
Profitez de nos actualités en lien avec cet article !
Chargement des actualités...
<< Retourner au menu