RGPD Article 32 : Exigences de sécurité du traitement (2026)
Published 6 juil. 2026
By Anna Bley

RGPD Article 32 : Exigences de sécurité du traitement (2026)

RGPD Article 32 expliqué : les mesures techniques et organisationnelles requises, le chiffrement est-il obligatoire, le test fondé sur le risque, les amendes et comment le prouver.

RGPD
GDPR
Protection des données
Sécurité
Conformité

RGPD Article 32 : la sécurité du traitement

L'article 32 du RGPD impose au responsable du traitement et au sous-traitant de mettre en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Il s'agit d'une obligation fondée sur le risque et centrée sur le résultat — et non d'une liste figée — mais elle nomme explicitement quatre mesures : la pseudonymisation et le chiffrement ; la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes ; la capacité à rétablir la disponibilité après un incident ; et un processus de test régulier de l'efficacité de ces mesures. Le caractère « approprié » s'apprécie au regard de l'état de l'art, du coût de mise en œuvre ainsi que de la nature, de la portée, du contexte, des finalités et du risque du traitement.

L'article 32 est celui sur lequel une revue de sécurité, un auditeur ou une autorité de contrôle vous met réellement à l'épreuve. Les « mesures techniques et organisationnelles insuffisantes pour garantir la sécurité de l'information » figurent parmi les catégories d'infractions au RGPD les plus sanctionnées — 418 amendes pour une moyenne de 2,0 millions d'euros, selon le CMS GDPR Enforcement Tracker — et le nombre de ces amendes a progressé de plus de 40 % entre 2024 et 2025. Pour les entreprises B2B, la difficulté n'est pas de savoir que la sécurité est requise ; c'est de prouver que ses mesures étaient « appropriées », avant comme après un incident.

Points clés à retenir

  • La norme est « approprié », et non « maximal ». La sécurité doit être proportionnée au risque — appréciée au regard de l'état de l'art, du coût, ainsi que de la nature, de la portée, du contexte et des finalités du traitement (article 32(1)).
  • Elle lie directement le sous-traitant. L'article 32 s'applique au responsable du traitement comme au sous-traitant — de sorte que, en tant qu'éditeur SaaS B2B, il s'agit de votre obligation légale, et non uniquement de celle de votre client.
  • Le chiffrement et la pseudonymisation sont nommés explicitement (article 32(1)(a)). Ce ne sont pas les seules mesures, mais leur absence pour des données sensibles est un constat récurrent en matière d'application.
  • Les « tests réguliers » sont une exigence, non un simple bonus (article 32(1)(d)) — un jeu de mesures figé, mis en place une seule fois, ne satisfait pas l'article.
  • Les mesures doivent être démontrables. Le principe de responsabilité (article 5(2)) signifie qu'une mesure non documentée est, aux fins de l'application, une mesure qui n'existe pas.
  • Les amendes sont réelles et lourdes : Meta 91 M€ (sept. 2024, mots de passe en clair — art. 32(1)) ; Capita 14 M£ (ICO britannique, 2025 — art. 32) ; Vodafone Allemagne 45 M€ (2025).

Aller à :


Ce qu'exige l'article 32

L'article 32(1) du Règlement (UE) 2016/679 énonce l'obligation centrale :

« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. »

Deux caractéristiques distinguent l'article 32 d'une norme de sécurité prescriptive. D'abord, l'obligation est partagée : elle pèse sur le responsable du traitement et sur le sous-traitant. Pour une entreprise SaaS B2B qui traite les données de ses clients, l'article 32 est un devoir légal direct — vous ne pouvez ni le déléguer à votre client ni vous retrancher derrière ses instructions. Ensuite, elle est fondée sur le risque et neutre du point de vue technologique : l'article évite délibérément une liste figée de mesures, car une sécurité « appropriée » en 2016 n'est pas une sécurité « appropriée » aujourd'hui. Ce que l'on attend de vous croît avec la sensibilité et l'ampleur de ce que vous traitez.

L'article 32(2) affine la lecture du risque en exigeant de prendre en compte « en particulier, les risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite ». L'article 32(4) ajoute une dimension humaine : toute personne agissant sous votre autorité ne doit traiter les données à caractère personnel que sur instruction, et non de sa propre initiative.


Le test de pondération fondé sur le risque

L'expression qui fait le plus de travail dans l'article 32 est « adapté au risque ». Le caractère approprié se décide en pondérant quatre paramètres, énoncés dans l'article lui-même :

FacteurCe que cela signifie en pratique
État de l'artLes mesures doivent suivre les pratiques de sécurité actuelles et largement adoptées. Le socle d'hier (transport non chiffré, hachage SHA-1, etc.) n'est plus « approprié ».
Coûts de mise en œuvreLe coût est un facteur légitime — mais il est mis en balance avec le risque, et non invoqué pour justifier des mesures bon marché et inadéquates lorsque les données sont sensibles.
Nature, portée, contexte et finalitésLe traitement de catégories particulières de données, ou de données à grande échelle, relève la barre. Une plateforme de paie est tenue à un standard plus élevé qu'une liste marketing à faible risque.
Risque pour les droits et libertésLa probabilité et la gravité du préjudice pour les personnes — usurpation d'identité, perte financière, discrimination — fixent le niveau de sécurité visé.

Le recueil de décisions du guichet unique du CEPD sur la sécurité et la notification des violations montre comment les autorités de contrôle appliquent ces critères dans des décisions concrètes : elles ont estimé que, lorsqu'un service traite les données « d'un grand nombre d'utilisateurs, des exigences plus élevées doivent être imposées au responsable du traitement ». Le recueil confirme aussi une nuance essentielle de la Cour de justice — la simple existence d'une violation ne prouve pas, à elle seule, le caractère inapproprié des mesures. La question est toujours de savoir si les mesures étaient appropriées au regard du risque, appréciées au moment considéré.

C'est là toute l'ambivalence de l'article 32 : il vous offre de la souplesse, mais il signifie aussi que « nous avions un pare-feu » n'est pas une défense. Vous devez pouvoir reconstituer l'analyse de risque qui a justifié le choix de vos mesures.


Les quatre mesures nommées (article 32(1)(a)–(d))

L'article 32(1) énumère quatre mesures indicatives « selon les besoins ». Elles ne constituent pas une liste exhaustive, mais elles sont les points d'ancrage à partir desquels toute évaluation démarre :

  • (a) Pseudonymisation et chiffrement des données à caractère personnel — réduire l'identifiabilité des données et les rendre inintelligibles à des tiers non autorisés.
  • (b) Confidentialité, intégrité, disponibilité et résilience — la triade classique CIA (confidentialité, intégrité, disponibilité) augmentée de la résilience : la capacité durable des systèmes et services à résister aux événements indésirables et à s'en rétablir. Cela recouvre le contrôle d'accès, l'authentification multifacteur, la sécurité réseau et les architectures à haute disponibilité.
  • (c) Rétablir la disponibilité et l'accès dans des délais appropriés après un incident physique ou technique — en pratique, des sauvegardes testées et une capacité de reprise après sinistre / continuité d'activité.
  • (d) Un processus de test, d'analyse et d'évaluation réguliers de l'efficacité des mesures — tests d'intrusion, gestion des vulnérabilités et revue périodique des mesures. Dans le recueil de décisions du CEPD, une autorité a précisément relevé que l'article 32(1)(d) exige de tester « tous les résultats probables » lors du développement d'un logiciel qui traite des données à caractère personnel.

L'inclusion du point (d) explique pourquoi l'article 32 est une obligation continue. Un jeu de mesures approprié au lancement se dégrade : les certificats expirent, les dépendances accumulent des CVE et l'état de l'art évolue. L'article 32 exige un processus qui continue de prouver que les mesures fonctionnent toujours.


Le chiffrement est-il obligatoire ?

À strictement parler, aucune mesure unique n'est obligatoire dans tous les cas — l'article 32 est fondé sur le risque. Mais le chiffrement est l'une des deux seules mesures nommées à l'article 32(1)(a), et, en pratique, les autorités de contrôle le traitent comme une attente par défaut pour les données à caractère personnel au repos comme en transit. Le recueil de décisions du CEPD rapporte le cas d'autorités ayant constaté une infraction à l'article 32 lorsqu'une entreprise utilisait HTTPS pour son site en général mais pas sur les pages de formulaire de contact qui transmettaient noms, adresses courriel et texte libre — l'absence de chiffrement constituait à elle seule la violation.

L'exemple d'application le plus marquant est l'amende de 91 millions d'euros infligée à Meta par l'autorité irlandaise (DPC) en septembre 2024, pour avoir stocké des mots de passe d'utilisateurs en clair. La DPC a retenu des infractions aux articles 5(1)(f), 32(1), 33(1) et 33(5) — mais le stockage en clair était, au fond, un manquement à l'article 32.

Le chiffrement a en outre un bénéfice décisif en aval : au titre de l'article 34(3), un chiffrement efficace qui rend les données violées inintelligibles supprime l'obligation de communiquer la violation aux personnes concernées. De fortes mesures au titre de l'article 32 ne sont donc pas seulement une exigence de conformité en elles-mêmes — elles sont le facteur qui, le plus souvent, empêche une violation de devenir un événement public, exposé aux clients.


Comment démontrer la conformité à l'article 32

L'article 32 n'est que la moitié de l'obligation. Le principe de responsabilité (article 5(2)) vous impose de démontrer votre conformité — ce qui signifie que chaque mesure a besoin d'une preuve qu'un client, un auditeur ou une autorité de contrôle peut inspecter. C'est là que la plupart des entreprises B2B échouent : les mesures existent, mais la preuve est éparpillée entre captures d'écran, tableurs et savoir informel.

Le modèle pratique consiste à faire correspondre chaque branche de l'article 32(1) à une MTO concrète, puis à l'endroit où cette MTO est justifiée — idéalement un Trust Center public ou en accès contrôlé, où prospects et auditeurs peuvent se servir en autonomie :

Exigence de l'article 32Mesure technique/organisationnelle concrèteOù elle réside (la preuve)
32(1)(a) — Chiffrement & pseudonymisationTLS 1.2+ en transit ; AES-256 au repos ; identifiants tokenisésLivre blanc de sécurité / document MTO dans le Trust Center
32(1)(b) — Confidentialité & contrôle d'accèsRBAC, SSO/SAML, MFA imposée, revues du moindre privilègePolitique de contrôle d'accès + journaux de revue des accès
32(1)(b) — Intégrité & résilienceGestion du changement, journalisation infalsifiable, déploiement multi-AZVue d'ensemble de l'architecture + preuves de journalisation/supervision
32(1)(c) — Rétablir la disponibilitéSauvegardes chiffrées automatisées, procédure de reprise testée, RTO/RPO définisPolitique de sauvegarde & de continuité d'activité + date du dernier test de reprise
32(1)(d) — Tests réguliersTest d'intrusion annuel, analyse continue des vulnérabilités, revue des mesuresSynthèse du test d'intrusion + preuves de gestion des vulnérabilités
Transverse — organisationnelPolitiques de sécurité, formation du personnel, plan de réponse aux incidents, contrôle préalable des fournisseursCorpus de politiques + registres de formation + liste des sous-traitants ultérieurs

Ce qui distingue les entreprises qui franchissent les achats de celles qui s'enlisent, ce ne sont pas des mesures plus fortes — c'est une preuve à jour et récupérable. Lorsque l'équipe sécurité d'un prospect demande « comment respectez-vous l'article 32(1)(d) ? », la réponse doit être un lien vers une synthèse datée de test d'intrusion, et non un fil de courriels de trois semaines.


Correspondance ISO 27001 annexe A ↔ article 32

Le moyen le plus efficace d'opérationnaliser l'article 32 consiste à exploiter un système de management de la sécurité de l'information (SMSI) ISO/IEC 27001. L'ISO 27001 n'est pas légalement imposée par le RGPD, mais l'article 32(3) autorise explicitement l'adhésion à un mécanisme de certification approuvé comme élément permettant de démontrer la conformité — et les mesures de l'annexe A d'ISO 27001:2022 se rattachent proprement aux quatre branches de l'article 32 :

Exigence de l'article 32Mesures de l'annexe A d'ISO/IEC 27001:2022
32(1)(a) Chiffrement / pseudonymisationA.8.24 Utilisation de la cryptographie
32(1)(b) Confidentialité & contrôle d'accèsA.5.15 Contrôle d'accès ; A.8.2 Droits d'accès privilégiés ; A.8.3 Restriction d'accès à l'information ; A.8.5 Authentification sécurisée
32(1)(b) Intégrité & résilienceA.8.16 Activités de surveillance ; A.8.32 Gestion des changements ; A.8.6 Gestion des capacités
32(1)(c) Rétablir la disponibilitéA.8.13 Sauvegarde des informations ; A.5.29 Sécurité en cas de perturbation ; A.5.30 Préparation des TIC à la continuité d'activité
32(1)(d) Tests réguliersA.8.8 Gestion des vulnérabilités techniques ; A.8.29 Tests de sécurité dans le développement et l'acceptation ; A.5.35 Revue indépendante de la sécurité de l'information

Cette correspondance est le cœur de l'approche SMSI-plus-Trust-Center : le SMSI vous apporte la gouvernance interne qui produit des mesures appropriées, et le Trust Center apporte la démonstration externe qu'exige l'article 5(2). Un certificat ISO 27001 et une déclaration d'applicabilité deviennent un raccourci auquel vos clients font déjà confiance — c'est pourquoi « certifié ISO 27001 » est l'une des premières choses que recherche une équipe achats européenne.


Check-list de conformité à l'article 32

Utilisez-la comme auto-évaluation rapide. Chaque point doit être justifié par une preuve, et pas seulement mis en œuvre :

  • Analyse de risque documentant pourquoi vos mesures sont appropriées au risque de votre traitement
  • Chiffrement des données à caractère personnel en transit (TLS 1.2+) et au repos (p. ex. AES-256)
  • Pseudonymisation là où elle réduit le risque sans compromettre la finalité
  • Contrôle d'accès — RBAC, SSO, MFA imposée et revues périodiques du moindre privilège
  • Journalisation et supervision suffisantes pour détecter et reconstituer les événements de sécurité
  • Sauvegardes testées et un plan de reprise après sinistre / continuité d'activité documenté et exercé (RTO/RPO définis)
  • Un programme de tests réguliers — au minimum un test d'intrusion annuel plus une analyse continue des vulnérabilités
  • Des politiques de sécurité et la preuve d'une formation de sensibilisation du personnel
  • Un plan de réponse aux incidents testé, articulé à votre flux de notification de violation au titre de l'article 33
  • Un contrôle préalable des fournisseurs / sous-traitants afin que vos partenaires atteignent un standard équivalent
  • Une preuve à jour et récupérable pour chacun des points ci-dessus, hébergée là où clients et auditeurs peuvent la trouver

Amendes et application

Les infractions à l'article 32 relèvent de la catégorie inférieure d'amendes prévue à l'article 83(4) : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Mais « catégorie inférieure » est trompeur — les amendes de sécurité figurent parmi les plus fréquentes du RGPD :

  • Meta — 91 millions d'euros (DPC Irlande, septembre 2024) : pour le stockage de mots de passe d'utilisateurs en clair — un manquement caractérisé à l'article 32(1) (aux côtés des articles 5(1)(f), 33(1) et 33(5)).
  • Capita plc — 14 millions de livres (ICO britannique, octobre 2025) : à la suite d'une cyberattaque de 2023 ayant exfiltré les données d'environ 6,6 millions de personnes ; l'ICO a retenu des infractions aux articles 5(1)(f), 32(1) et 32(2) du UK GDPR (un montant initialement proposé de 45 millions de livres, réduit lors d'une transaction).
  • Vodafone Allemagne — 45 millions d'euros (BfDI, 2025) : incluant des sanctions pour failles de sécurité et surveillance inadéquate des sous-traitants.
  • Meta — 251 millions d'euros (DPC Irlande, décembre 2024) : pour la violation Facebook de 2018 touchant ~29 millions d'utilisateurs — infligée pour des manquements à la protection des données dès la conception et par défaut (article 25) et pour des défauts de notification de violation (article 33), rappel qu'une ingénierie de sécurité déficiente est sanctionnée à travers plusieurs articles, et non le seul article 32.

La catégorie compte davantage que n'importe quel cas isolé. Les « mesures techniques et organisationnelles insuffisantes pour garantir la sécurité de l'information » représentent 418 amendes pour une moyenne de 2,0 millions d'euros selon le CMS Enforcement Tracker, et le nombre de ces amendes a progressé de plus de 40 % entre 2024 et 2025 (de 69 à 97 cas selon l'analyse de Surfshark). Le cumul des amendes RGPD atteignait 7,1 milliards d'euros en janvier 2026, dont environ 1,2 milliard d'euros prononcés en 2025, selon le DLA Piper GDPR Fines and Data Breach Survey (janvier 2026).


La position du Royaume-Uni et de la Norvège

L'article 32 est une norme paneuropéenne, et l'obligation de sécurité du traitement est remarquablement cohérente dans l'ensemble du paysage européen de la conformité.

Royaume-Uni. Le UK GDPR conserve l'obligation de sécurité de l'article 32 dans une substance identique, appliquée par l'Information Commissioner's Office (ICO). L'ICO a prononcé certaines des plus lourdes sanctions de sécurité en Europe — notamment contre British Airways (20 millions £) et Marriott (18,4 millions £), toutes deux centrées sur une sécurité inadéquate — et son amende Capita de 2025 confirme que l'appétit n'a pas faibli. Le Data (Use and Access) Act 2025 (sanction royale le 19 juin 2025) a réformé certains pans de la protection des données britannique sans affaiblir l'obligation de sécurité, et la Commission européenne s'est engagée à renouveler la décision d'adéquation du Royaume-Uni après examen des réformes, de sorte que les flux de données UE-RU se poursuivent.

Norvège et EEE. La Norvège applique le RGPD via l'accord EEE (en vigueur depuis juillet 2018), de sorte que l'article 32 lie les responsables du traitement et sous-traitants norvégiens dans des termes identiques, sous la supervision du Datatilsynet. La conclusion pratique pour toute entreprise active dans l'UE, l'EEE et le Royaume-Uni est qu'il convient de concevoir un socle de sécurité unique au standard des « mesures appropriées » — il ne s'abaisse pas en franchissant une frontière, et l'historique d'application de l'ICO montre qu'il peut y devenir plus coûteux.


Mettre en œuvre l'article 32 dans un Trust Center

L'article 32 est le point où l'ingénierie de sécurité rencontre la responsabilité juridique. Les mesures relèvent de l'équipe sécurité ; les prouver — avant une signature, pendant un audit et après une violation — est là où l'article se gagne ou se perd. Trois capacités transforment l'article 32 d'un affolement périodique en un actif permanent :

  1. Un document MTO vivant aligné sur les branches (a)–(d) de l'article 32(1), tenu à jour plutôt que réécrit avant chaque audit — pour que « quelles sont vos mesures techniques et organisationnelles ? » ait une réponse unique et faisant autorité.
  2. Une preuve qui se rafraîchit d'elle-même. La surveillance continue maintient à jour la preuve du chiffrement, des revues d'accès, des sauvegardes et des tests, satisfaisant en même temps la branche « tests réguliers » de l'article 32(1)(d) et le devoir de responsabilité de l'article 5(2).
  3. Une surface en libre-service pour acheteurs et auditeurs. Un Trust Center permet à l'équipe sécurité d'un prospect de confirmer votre posture au titre de l'article 32 sans cycle de questionnaire — la preuve même qui répond à une revue de diligence est celle qu'une autorité de contrôle réclame après un incident.

C'est le modèle SMSI-et-Trust-Center en pratique : un SMSI produit des mesures appropriées ; un Trust Center les rend démontrables. La plateforme Trust Center d'Orbiq conserve les MTO, certifications, listes de sous-traitants et preuves de tests en un seul endroit toujours à jour, de sorte que votre récit au titre de l'article 32 est prêt avant que quiconque ne le demande — pour un prospect, un auditeur ou le Datatilsynet.

L'article 32 récompense la même discipline que le reste du régime de sécurité du RGPD : accomplir le travail ingrat en amont, tenir la preuve à jour, et l'article cesse d'être un risque pour devenir quelque chose que vous pouvez montrer à un client.

Prouvez votre conformité à l'article 32 avec les preuves d'un Trust Center. Découvrez le fonctionnement de la plateforme Trust Center d'Orbiq →


Sources et références

  1. Règlement (UE) 2016/679 (RGPD) — Texte intégral (EUR-Lex ELI) — Journal officiel de l'Union européenne ; l'article 32 dans son contexte.
  2. gdpr-info.eu — Article 32 (Sécurité du traitement) — Texte de l'article et considérants.
  3. CEPD — Recueil de décisions du guichet unique : sécurité du traitement et notification des violations — Comment les autorités de contrôle apprécient en pratique les MTO « appropriées ».
  4. CMS GDPR Enforcement Tracker Report 2025/2026 — Chiffres et données — Catégories d'amendes et amende de sécurité de 251 M€ contre Meta.
  5. DLA Piper GDPR Fines and Data Breach Survey : janvier 2026 — 7,1 milliards d'euros cumulés ; 1,2 milliard d'euros en 2025.
  6. Surfshark Research : GDPR fines 2025 — Amendes de l'article 32 en hausse de plus de 40 % (69 → 97 cas) ; Meta 251 M€ + 91 M€.
  7. ICO — A guide to data security (UK GDPR) — Orientations britanniques sur la sécurité du traitement.
  8. Datatilsynet — autorité norvégienne de protection des données — Orientations de sécurité (Norvège / EEE).

Lectures complémentaires

Questions fréquentes

Qu'exige l'article 32 du RGPD ?

L'article 32 impose au responsable du traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Il cite quatre mesures à titre indicatif : la pseudonymisation et le chiffrement ; la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes ; la capacité à rétablir la disponibilité après un incident ; et un processus de test et d'évaluation régulière de l'efficacité de ces mesures. Le caractère « approprié » s'apprécie au regard de l'état de l'art, du coût de mise en œuvre ainsi que de la nature, de la portée, du contexte, des finalités et du risque du traitement.

Le chiffrement est-il obligatoire au titre de l'article 32 du RGPD ?

Le chiffrement n'est pas strictement obligatoire dans tous les cas, mais il est l'une des deux seules mesures que l'article 32(1)(a) nomme explicitement, et les autorités de contrôle le considèrent comme une attente par défaut pour les données personnelles au repos comme en transit. Lorsque des données sensibles ou traitées à grande échelle le sont sans chiffrement, les autorités ont, à de multiples reprises, constaté une infraction à l'article 32. Un chiffrement efficace est aussi le moyen le plus fiable de supprimer l'obligation de notifier une violation aux personnes concernées au titre de l'article 34(3).

Que sont les mesures techniques et organisationnelles (MTO) ?

Les mesures techniques et organisationnelles — MTO — sont les mesures de sécurité concrètes qui satisfont à l'article 32. Les mesures techniques comprennent le chiffrement, la pseudonymisation, le contrôle d'accès, l'authentification multifacteur, la journalisation, les sauvegardes et les tests de vulnérabilité. Les mesures organisationnelles comprennent les politiques de sécurité, la formation du personnel, les processus de gouvernance des accès, les procédures de réponse aux incidents et le contrôle préalable des fournisseurs. L'article 32 exige les deux, documentées et tenues à jour.

Quelles sont les amendes en cas d'infraction à l'article 32 ?

L'article 32 relève de la catégorie inférieure d'amendes prévue à l'article 83(4) : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En pratique, les amendes ont été lourdes : l'autorité irlandaise (DPC) a infligé à Meta 91 millions d'euros (septembre 2024) pour avoir stocké des mots de passe en clair — un manquement caractérisé à l'article 32(1) — et l'ICO britannique a sanctionné Capita à hauteur de 14 millions de livres en 2025 pour infractions aux articles 5(1)(f) et 32. Les « mesures techniques et organisationnelles insuffisantes » constituent l'une des catégories d'infractions au RGPD les plus fréquemment sanctionnées.

L'article 32 du RGPD s'applique-t-il au Royaume-Uni et en Norvège ?

Oui, sous une forme équivalente. Le UK GDPR conserve la même obligation de sécurité du traitement, appliquée par l'ICO — qui a prononcé certaines des plus lourdes amendes de sécurité en Europe. La Norvège applique le RGPD via l'accord EEE, sous la supervision du Datatilsynet. La norme des « mesures appropriées » est cohérente dans l'ensemble de l'UE, de l'EEE et du Royaume-Uni : un socle de sécurité unique satisfait donc les trois.

RGPD Article 32 : Exigences de sécurité du traitement (2026)