RGPD article 32
Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
L’article 32 du Règlement général sur la protection des données — règlement (UE) 2016/679 — est la clause de sécurité du RGPD. Il impose au responsable du traitement et au sous-traitant de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le texte est court — cinq paragraphes — mais c’est l’article le plus cité dans les sanctions de la CNIL et des autres autorités de contrôle européennes, parce qu’il fait le lien opérationnel entre les principes du RGPD et ce que l’organisation fait réellement.
Sa structure :
- 32(1) — mesures techniques et organisationnelles appropriées, compte tenu de l’état de l’art, du coût, de la nature/portée/contexte/finalité du traitement et du risque pour les personnes. Exemples cités : pseudonymisation, chiffrement, confidentialité/intégrité/disponibilité/résilience des systèmes, rétablissement après incident, tests réguliers.
- 32(2) — l’évaluation du caractère « approprié » prend en compte les risques de destruction, perte, altération, divulgation ou accès non autorisés.
- 32(3) — l’adhésion à un code de conduite ou à un mécanisme de certification approuvé peut servir à démontrer la conformité.
- 32(4) — le responsable et le sous-traitant doivent veiller à ce que toute personne physique agissant sous leur autorité qui accède à des données personnelles ne les traite que sur instruction du responsable — ce qui suppose, en pratique, que les personnels soient formés et engagés.
C’est le paragraphe 32(4) — combiné à la formule « mesures organisationnelles » du 32(1) — qui ancre l’attention croissante des régulateurs sur la formation et le comportement. En 2022 par exemple, la délibération CNIL contre Cityscoot a sanctionné une politique de mot de passe insuffisante au titre de l’article 32 ; plusieurs décisions d’autorités européennes ont relevé des sensibilisations insuffisantes. Depuis que NIS2 a ajouté à son article 21 des obligations explicites de formation cyber, la question « qu’est-ce qu’une mesure organisationnelle adéquate ? » trouve sa réponse : une formation continue, adaptée au rôle, productrice de preuves — pas un e-learning annuel à cliquer.
C’est exactement le glissement pour lequel Engarde (engarde.cc) a été pensé : produire la preuve comportementale qui démontre la conformité article 32 en contrôle — historique de formation par collaborateur, lignes de base, courbes de remédiation — en complément des contrôles techniques que décrivent les guides ANSSI. Cadres UE apparentés : DORA pour les entités financières et NIS2 pour les entités essentielles et importantes.
Termes liés
- CNIL (Commission nationale de l'informatique et des libertés)Autorité française indépendante de protection des données — fait appliquer le RGPD, déclenche le délai de 72 h de notification et publie des doctrines opposables.
- NIS2Directive UE 2022/2555 qui élève les obligations cyber des entités essentielles et importantes, avec contrôles comportementaux et formation désormais auditables.
- DORA (Digital Operational Resilience Act)Règlement UE 2022/2554 rendant la résilience opérationnelle numérique — facteur humain compris — directement contraignante pour les entités financières depuis le 17 janvier 2025.
- ANSSI (Agence nationale de la sécurité des systèmes d'information)Autorité nationale française de cybersécurité — publie les guides, certifications (SecNumCloud, CSPN) et posture de réponse à incident sur lesquels les organisations s'alignent.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.