RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 32 - Sécurité du traitement

Version en vigueur

Entrée en vigueur :	24 mai 2016

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a)	la pseudonymisation et le chiffrement des données à caractère personnel;

b)	des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c)	des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

d)	une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

Décisions • 206

Afficher tout (206)

1. CNIL, Délibération du 21 décembre 2023, n° 2023-148

[…] La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l'étude s'effectue sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l'arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS et de ses mises à jour ultérieures.

Traitement·
Accès aux données·
Responsable·
Information·
Finalité·
Santé·
Cnil·
Plateforme·
Informatique et libertés·
Informatique

2. CNIL, Délibération du 23 septembre 2021, n° 2021-131

[…] L'organisme dont le traitement remplit les conditions fixées par le présent référentiel doit s'assurer que le traitement respecte le niveau de sécurité approprié requis par l'article 32 du RGPD, en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques posés par le traitement, dont le degré de probabilité et de gravité varient pour les droits et libertés des personnes physiques.

Personne concernée·
Consentement·
Protection des données·
Finalité·
Collecte·
Cnil·
Traitement de données·
Utilisateur·
Identité·
Prospection commerciale

3. CNIL, Délibération du 7 juin 2018, n° 2018-256

Méthodologie·
Traitement de données·
Responsable·
Etablissements de santé·
Plateforme·
Personnel·
Finalité·
Caractère·
Personne concernée·
Accès aux données

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (206)

Commentaires • 369

Afficher tout (369)

1. Authentification multifacteur : consultation publique de la CNIL sur un projet de recommandation

CNIL · 28 mars 2024

Ces solutions, comme l'authentification multifacteur, peuvent permettre de répondre à l'obligation de sécurité des données notamment (article 32 du règlement général sur la protection des données ou RGPD). Cependant, elles reposent en elles-mêmes sur des traitements de données dont la conformité au RGPD doit être assurée.

2. Les obligations rgpd des Agents immobiliers : explications

www.cabinetfoussat.com · 26 mars 2024

[…] Collaborer avec le responsable du traitement pour garantir le respect des obligations définies aux articles 32 et 36 du RGPD. […] Ainsi, ils doivent fournir à ces agents des instructions documentées conformément à l'article 28 du RGPD, afin qu'ils puissent traiter les données personnelles en leur nom et pour leur compte. Les fiches clients et logiciels métiers sont des outils intéressants pour garantir la conformité au RGPD, car ils permettent de formaliser la collecte des données personnelles par les agents commerciaux. […]

3. Agent immobilier : quels enjeux en matière de RGPD ?

www.cabinetfoussat.com · 26 mars 2024

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (369)

Doctrine / Droit de l'Union Européenne / Règlements / 2016 / Règlement RGPD n°2016/679