En bref
L'article 32 du RGPD impose des tests réguliers d'évaluation de la sécurité des données. Leur absence expose à des amendes de 10 millions d'euros. Les tests d'intrusion sans autorisation écrite sont pénalement répréhensibles.
L'obligation de sécurité du RGPD : fondement juridique de l'audit informatique
Art. 32 RGPD
« Le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées, incluant des procédures visant à tester, analyser et évaluer régulièrement l'efficacité des mesures pour assurer la sécurité du traitement. »
Source : RGPD — texte consolidé
Art. 5, §1, f) RGPD
« Les données personnelles doivent être traitées de façon à garantir une sécurité appropriée contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle. »
Source : RGPD — texte consolidé
Droit d'audit contractuel et chaîne de sous-traitance
Art. 28, §3, h) RGPD
« Le sous-traitant met à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations et pour permettre la réalisation d'audits, y compris des inspections, et contribue à ces audits. »
Source : RGPD — texte consolidé
Rédiger des clauses d'audit précises et opérationnelles
Détaillez dans chaque contrat de sous-traitance RGPD la fréquence d'audit, le périmètre, les délais de préavis, la répartition des coûts et les obligations de remédiation pour garantir l'exercice effectif du droit de contrôle.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Méthodologie de l'audit : volets organisationnel, technique et conformité
Un audit exclusivement technique est juridiquement insuffisant
Limiter l'audit aux seuls aspects techniques sans évaluer la gouvernance organisationnelle et la conformité juridique expose à des sanctions : la CNIL apprécie la sécurité dans toutes ses dimensions.
Tests d'intrusion : les limites pénales de l'audit technique
Cass. crim., 20 mai 2015, n° 14-81.336
« Constitue le maintien frauduleux dans un STAD le fait de se maintenir dans un système après introduction par défaillance technique et constatation d'un contrôle d'accès. Le téléchargement non consenti de données protégées caractérise le vol. »
Source : JUDILIBRE — Cour de cassation
Cass. crim., 27 octobre 2009, n° 09-82.346
« La détention d'outils conçus pour commettre une atteinte aux STAD, sans motif légitime et en connaissance de cause, établit l'intention coupable visée par l'article 323-3-1 du Code pénal. »
Source : JUDILIBRE — Cour de cassation
Test d'intrusion sans autorisation écrite : qualification pénale
Réaliser un pentest sans autorisation formelle du responsable du système expose l'auditeur à des poursuites pour accès et maintien frauduleux dans un STAD, quand bien même l'objectif serait la sécurisation.
Sanctions, responsabilité civile et convergence réglementaire
Art. 83, §4 RGPD
« Les violations de l'article 32 sont passibles d'amendes administratives jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »
Source : RGPD — texte consolidé
Conserver les rapports d'audit comme preuve d'accountability
Conservez chaque rapport d'audit horodaté pendant cinq ans minimum. Ce document constitue la preuve principale de votre démarche proactive en cas de contrôle CNIL ou de contentieux en responsabilité civile.
Questions fréquentes
Un audit de sécurité informatique est-il obligatoire au titre du RGPD ?
L'article 32 du RGPD impose des procédures de test et d'évaluation régulières de l'efficacité des mesures de sécurité. Si le terme « audit » n'apparaît pas textuellement, il constitue le moyen privilégié de satisfaire cette obligation. Son absence expose à des sanctions administratives pouvant atteindre 10 millions d'euros.
Un test d'intrusion peut-il engager la responsabilité pénale de l'auditeur ?
Oui, si le test est conduit sans autorisation écrite du responsable du système. L'article 323-1 du Code pénal punit l'accès frauduleux à un STAD de trois ans d'emprisonnement. Seule une autorisation détaillée constitue le motif légitime excluant la qualification pénale.
À quelle fréquence réaliser un audit de sécurité pour être conforme au RGPD ?
Le RGPD exige des évaluations « régulières » sans fixer de périodicité précise. En pratique, un audit annuel constitue le rythme minimal recommandé, complété par des tests ciblés après toute modification significative du système d'information ou après un incident de sécurité.
Un sous-traitant peut-il refuser un audit demandé par le responsable de traitement ?
L'article 28 du RGPD impose au sous-traitant de permettre les audits et d'y contribuer activement. Un refus constitue un manquement contractuel et réglementaire. Le contrat de sous-traitance doit prévoir les modalités d'exercice de ce droit pour prévenir tout différend.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Mulhouse
- Procédure à Caen
- Procédure à Nancy
- Procédure à Saint Denis Reunion
- Procédure à Argenteuil
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours