Article 32 du RGPD

Responsable du traitement et sous-traitant

Ce que dit le RGPD :

1.  Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2.  Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3.  L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4.  Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

Que doit-on en comprendre ?

Des exemples de sanctions dans le cadre de cet article

27800000
Autorité italienne de protection des données (Garante)
Contexte :
Base juridique insuffisante pour le traitement des données
En cause :
Tim (opérateur De Télécommunications)
22046000
Commissaire à l'information (ICO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
British Airways
20450000
Commissaire à l'information (ICO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Marriott International, Inc
12251601
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Vodafone Italia Spa
4500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Fastweb Spa
2900000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Capio St. Göran Ab
2600000
Commission de protection des données de Bulgarie (KZLD)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Agence Nationale Du Revenu
2500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Deliveroo Italie Srl
2250000
Autorité française de protection des données (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Carrefour France
1463000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Aleris Sjukvård Ab
1405000
Commissaire à l'information (ICO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Ticketmaster Uk Limited
1240000
Autorité de protection des données du Bade-Wurtemberg
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Allgemeine Ortskrankenkasse (`` Aok '') (compagnie D'assurance Maladie)
1168000
Autorité suédoise de protection des données (Integritetsskyddsmyndigheten)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Aleris Sjukvård Ab
900000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Uwv (prestataire Néerlandais De Services D'assurance Des Employés)
900000
Le Commissaire fédéral à la protection des données et à la liberté de l'information (BfDI)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Fournisseur De Télécommunications (1 & 1 Telecom Gmbh)
660000
Office national polonais de protection des données personnelles (UODO)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Morele.net
600000
Autorité espagnole de protection des données (aepd)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Air Europa Lineas Aereas, Sa.
511000
Commission de protection des données de Bulgarie (KZLD)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Banque Dsk
500000
Autorité italienne de protection des données (Garante)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Roma Capitale (municipalité De Rome)
500000
Commission Nationale de l'Informatique et des Libertés (CNIL)
Contexte :
Non-respect des principes généraux de traitement des données
En cause :
Brico Privé
460000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Hôpital De Haga
450000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
En cause :
Uwv (fournisseur Néerlandais De Services D'assurance Des Employés)
440000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Olvg
440000
Autorité de surveillance néerlandaise pour la protection des données (AP)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Olvg
400000
Autorité française de protection des données (CNIL)
Contexte :
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
En cause :
Sergic (immobilier)

S'inscrire à la newsletter de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Rejoindre
En cliquant sur "Accepter", vous acceptez le stockage de cookies sur votre appareil qui permettent d'améliorer la navigation du site, analyser les statistiques et nous soutenir dans nos efforts marketing. N'hésitez pas à consulter notre Politique de confidentialité pour toute information complémentaire.