Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les autorités du RGPD ne sanctionnent plus seulement les violations de données. Elles sanctionnent aussi l’absence de sécurité que vous auriez dû mettre en place.

Les autorités du RGPD ne sanctionnent plus seulement les violations de données. Elles sanctionnent aussi l’absence de sécurité que vous auriez dû mettre en place.

par Uri Kedem updated février 25, 2026 Conformité RGPD
temps de lecture: 11 minutes

Un changement majeur s’opère dans l’application de la protection des données en Europe, et tous les responsables conformité et sécurité doivent en prendre la mesure. Ce n’est pas subtil, et cela modifie fondamentalement la façon dont vous investissez dans la sécurité des données.

La mise à jour de février 2026 de Gibson Dunn sur la protection des données en Europe résume les récentes actions de mise en conformité RGPD qui rendent la nouvelle réalité explicite. Les autorités de régulation ne se concentrent plus uniquement sur ce qui s’est passé lors d’une violation. Elles s’intéressent à ce qui aurait dû être en place en amont. Et elles infligent des amendes de plusieurs dizaines de millions d’euros pour l’absence de contrôles qu’elles considèrent désormais comme le strict minimum.

Deux cas issus de cette mise à jour illustrent la tendance. Dans le premier, un régulateur a sanctionné une agence après que des attaquants ont accédé aux données personnelles de personnes enregistrées depuis plus de vingt ans. Les constats : politiques de mot de passe insuffisantes, absence d’authentification multifactorielle et journalisation/surveillance inadéquates — autant de violations de l’article 32 du RGPD, qui impose des « mesures techniques et organisationnelles appropriées » pour sécuriser les données personnelles. Dans le second, un groupe de télécommunications a écopé de plusieurs dizaines de millions d’euros d’amende après que des attaquants ont accédé à des données liées à environ 24 millions de contrats d’abonnés. Les autorités ont pointé une authentification faible, des notifications de violation incomplètes au titre de l’article 33, et une conservation illicite des données selon l’article 5(1)(e).

Le fil conducteur est clair. Les régulateurs sanctionnent les faiblesses structurelles qui ont permis la violation — pas seulement la violation elle-même. Et les failles pointées sont des éléments que la plupart des organisations auraient pu et dû corriger depuis des années.

5 points clés à retenir

  1. Les régulateurs sanctionnent les faiblesses structurelles de sécurité, pas seulement les violations qu’elles engendrent. La mise à jour de février 2026 de Gibson Dunn sur la protection des données en Europe révèle un tournant décisif dans l’application du RGPD. Les autorités n’attendent plus qu’une violation cause des dommages mesurables pour infliger des amendes. Elles sanctionnent les faiblesses structurelles sous-jacentes — authentification insuffisante, journalisation/surveillance inadéquates, conservation illicite des données — qui ont rendu la violation possible ou en ont aggravé l’impact. Le message est clair : si vos contrôles sont insuffisants, vous êtes responsable, même si le pire scénario ne s’est pas produit.
  2. Une agence sanctionnée pour avoir conservé des données plus de 20 ans — sans MFA, ni journalisation, ni surveillance. Des attaquants ont accédé aux données personnelles de personnes enregistrées depuis plus de vingt ans. Le régulateur a pointé des politiques de mot de passe insuffisantes, l’absence d’authentification multifactorielle et de journalisation/surveillance, en violation de l’article 32 du RGPD. L’organisation a été sanctionnée non seulement pour la violation, mais aussi pour l’absence de contrôles qui auraient dû la prévenir ou la détecter. L’amende et les mesures correctives reflètent la position des régulateurs : il s’agit d’exigences de base, pas d’objectifs à atteindre.
  3. Un groupe télécom sanctionné de plusieurs dizaines de millions après l’exposition de 24 millions de dossiers d’abonnés. Des attaquants ont accédé à des données liées à environ 24 millions de contrats d’abonnés. Les autorités ont relevé une authentification faible, des notifications de violation incomplètes (article 33) et une conservation illicite des données (article 5(1)(e)). L’amende s’est élevée à plusieurs dizaines de millions d’euros. Ce cas montre que les régulateurs évaluent plusieurs dimensions à la fois : avez-vous empêché la violation, l’avez-vous détectée, l’avez-vous signalée, et conserviez-vous des données qui auraient déjà dû être supprimées ?
  4. L’article 32 impose désormais clairement le MFA, la journalisation en temps réel et l’automatisation de la conservation. Dans les deux cas, les actions des régulateurs définissent ce que signifient concrètement les « mesures techniques et organisationnelles appropriées » de l’article 32 : authentification forte incluant le MFA pour les comptes exposés, journalisation en temps réel et détection des accès non autorisés, et gestion rigoureuse de la minimisation et de la conservation des données. Ce ne sont plus des recommandations, mais le strict minimum réglementaire.
  5. La charge de la preuve a changé — vous devez prouver la conformité, pas seulement l’affirmer. Le principe de responsabilité de l’article 5(2) impose aux organisations de prouver qu’elles disposent des mesures appropriées. Ces cas montrent que les régulateurs vont vérifier si vous aviez des contrôles préventifs (MFA, restrictions d’accès) et des contrôles de détection (journalisation, surveillance), s’ils étaient opérationnels au moment de l’incident, et si vous pouvez fournir la documentation correspondante. Affirmer disposer de « mesures appropriées » sans preuve technique n’est plus une défense valable.

Ce que signifient réellement les « mesures techniques appropriées » en 2026

Depuis des années, l’article 32 du RGPD impose aux organisations de mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour protéger les données personnelles. Le texte est volontairement large, laissant aux organisations la flexibilité de définir ce qui est approprié selon les risques encourus.

Cette flexibilité se réduit. Les actions des régulateurs mises en avant par Gibson Dunn précisent de plus en plus ce que signifie « approprié » — et la barre n’est pas haute. Il s’agit des fondamentaux de la sécurité recommandés par la plupart des référentiels de conformité depuis des années. La différence, c’est que les autorités considèrent désormais l’absence de ces fondamentaux comme une violation, quel que soit l’impact de la violation.

Authentification forte, y compris le MFA. Les deux cas ont pointé une authentification faible comme violation. Les mots de passe seuls ne suffisent plus pour tout système traitant des données personnelles. Le cas de l’agence a spécifiquement relevé l’absence d’authentification multifactorielle. Pour les régulateurs, le MFA n’est plus une bonne pratique, c’est une exigence. Et l’attente va au-delà du MFA de base : authentification contextuelle, vérification renforcée pour les actions à risque comme les téléchargements massifs ou le partage externe, politiques de confiance des appareils pour restreindre l’accès aux terminaux gérés, et contrôles de géolocalisation pour détecter les accès depuis des lieux inattendus.

Journalisation et détection en temps réel. Le cas de l’agence a pointé « une journalisation et une surveillance insuffisantes » comme violation distincte. Les régulateurs attendent des organisations qu’elles détectent les accès non autorisés en temps réel — pas qu’elles les découvrent des semaines ou des mois plus tard lors d’une enquête. Cela implique des journaux d’audit qui enregistrent chaque accès à des données personnelles : qui, quoi, quand, où, comment. Cela implique des alertes en temps réel pour les activités suspectes comme des accès inhabituels, des téléchargements massifs ou des tentatives d’authentification répétées. Et cela implique des journaux immuables — des enregistrements infalsifiables après coup.

Minimisation et conservation rigoureuses des données. Le cas de l’agence concernait des données personnelles conservées plus de vingt ans. Le cas télécom évoquait une « conservation illicite ». Le principe de limitation de la conservation de l’article 5(1)(e) impose de ne garder les données personnelles que le temps nécessaire à la finalité pour laquelle elles ont été collectées. Les régulateurs appliquent désormais ce principe par des amendes, et non plus seulement par des recommandations. Les organisations doivent mettre en place des politiques de conservation automatisées qui suppriment les données personnelles après une période définie, une gestion des legal holds pour préserver les données liées à un contentieux tout en supprimant le reste, et des journaux de suppression pour prouver aux régulateurs que les données ont bien été effacées au moment requis.

Conformité démontrable. Le principe de responsabilité de l’article 5(2) relie tous ces éléments. Il ne suffit pas d’avoir des mesures appropriées. Vous devez pouvoir le prouver. Si un régulateur demande si le MFA était en place au moment de l’incident, vous devez fournir la preuve que c’était le cas — pas un document de politique qui dit que cela devrait l’être. S’il demande si vous surveilliez les accès non autorisés, il faut des journaux d’audit et des configurations d’alerte, pas une présentation de la revue sécurité de l’an dernier.

Liste de contrôle RGPD Conformité

Pour en savoir plus :

Pourquoi l’application cible l’infrastructure, pas seulement les incidents

Cette tendance ne sort pas de nulle part. Les régulateurs ont passé des années à publier des recommandations, à émettre des avertissements et à clarifier leurs attentes. Le passage à la sanction des faiblesses structurelles traduit le constat que les recommandations seules ne suffisent pas.

Les chiffres le confirment. Le coût moyen d’une violation de données atteint désormais 4,88 millions de dollars dans le monde ; dans la santé, 10,93 millions (IBM Cost of a Data Breach Report, 2024). Les amendes RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel. Et l’AI Act européen ajoute une couche, avec des sanctions allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires pour les violations à haut risque. Avec la multiplication des agents et outils d’IA générative traitant des données personnelles — souvent via des canaux que les organisations ne maîtrisent pas totalement — la pression réglementaire pour prouver l’existence de contrôles de base ne va faire que s’intensifier.

Le message des autorités devient aussi plus sophistiqué. Dans ces cas, elles n’ont pas simplement constaté une violation pour infliger une amende. Elles ont évalué si l’organisation disposait de contrôles préventifs (MFA, restrictions d’accès) qui auraient pu empêcher la violation, de contrôles de détection (journalisation, surveillance) qui auraient pu la détecter plus tôt, de contrôles de réponse (notification de violation) conformes à l’exigence de notification sous 72 heures de l’article 33, et de contrôles de conservation qui auraient réduit le volume de données exposées. Chaque contrôle manquant a été considéré comme une violation distincte. Les amendes s’additionnent.

Ce que la plupart des organisations ignorent encore sur la conformité RGPD en matière de sécurité

Voici la vérité inconfortable révélée par ces cas. La plupart des organisations affirment disposer de « mesures appropriées ». Peu peuvent le prouver lors d’un contrôle. C’est l’écart entre la politique et la réalité qui entraîne les amendes.

L’écart d’authentification. Beaucoup d’organisations ont des politiques MFA. Peu l’appliquent systématiquement à tous les systèmes traitant des données personnelles. Les plateformes de partage de fichiers historiques, les systèmes de messagerie et les outils de transfert sécurisé de fichiers sont souvent dépourvus des contrôles d’authentification attendus par les régulateurs. Les outils grand public de partage de fichiers offrent une authentification basique mais rarement une authentification contextuelle renforcée pour les actions à risque, la vérification de la confiance des appareils ou des contrôles de géolocalisation. Lors d’un contrôle, les régulateurs ne regardent pas votre politique, mais votre implémentation technique.

L’écart de journalisation. Beaucoup d’organisations journalisent certaines activités. Peu maintiennent des journaux d’audit immuables couvrant chaque accès à des données personnelles sur tous les canaux — partage de fichiers, messagerie, transfert sécurisé de fichiers, formulaires web, API. Des outils fragmentés produisent des journaux fragmentés. Chaque système a son propre format, sa propre conservation, ses propres lacunes. Quand les régulateurs demandent un historique complet des accès aux données personnelles, la plupart des organisations découvrent qu’elles ne peuvent pas le fournir. Le cas de l’agence a pointé une « journalisation insuffisante » comme violation. Insuffisant signifie incomplet, non exhaustif ou non infalsifiable.

L’écart de conservation. La conservation des données est l’exigence RGPD qui pose le plus de difficultés aux organisations. Il est facile de rédiger une politique de conservation. Il est bien plus difficile de l’appliquer automatiquement à tous les systèmes où résident des données personnelles. Archives de messagerie, partages de fichiers, systèmes de sauvegarde, plateformes collaboratives — les données personnelles s’accumulent dans des dizaines de dépôts. Sans automatisation, les données restent des années au-delà de leur finalité. Le cas de l’agence concernait des données conservées plus de vingt ans. Ce n’est pas un échec de politique, mais d’infrastructure d’application.

L’écart documentaire. L’article 5(2) impose de prouver la conformité — pas seulement de l’affirmer. Lors d’un contrôle, les régulateurs veulent voir des rapports de conformité préétablis montrant les taux d’application du MFA, les configurations de contrôle d’accès et la conformité de la conservation. Ils veulent une documentation prête à l’audit sur les mesures techniques et organisationnelles. Ils veulent des chronologies forensiques complètes pour la notification de violation sous 72 heures (article 33). Et ils veulent des registres des activités de traitement (article 30) montrant la réalité, pas la théorie.

Comment combler l’écart entre politique et conformité prouvée

Les actions des régulateurs décrites dans la mise à jour de Gibson Dunn concernent des échecs totalement évitables — à condition de disposer de la bonne infrastructure. Pas un patchwork d’outils séparés pour le partage de fichiers, la messagerie, le transfert sécurisé de fichiers et les formulaires web, chacun avec ses propres fonctions d’authentification, de journalisation et de conservation. Mais une plateforme unifiée qui gouverne les données personnelles sur tous les canaux avec des contrôles cohérents et un audit unique.

Le Réseau de données privé Kiteworks a été conçu précisément pour relever ce défi de conformité. Il répond à chacune des violations citées dans les cas Gibson Dunn — non comme des options, mais comme des principes de conception fondamentaux.

Pour l’authentification, Kiteworks impose le MFA pour tout accès aux données personnelles, avec authentification contextuelle renforcée pour les actions à risque comme les téléchargements massifs ou le partage externe. L’intégration SSO prend en charge les fournisseurs d’identité d’entreprise avec MFA. La confiance des appareils restreint l’accès aux terminaux gérés et conformes. Les contrôles de géolocalisation détectent et bloquent les accès depuis des lieux inattendus. Ce sont précisément les contrôles jugés manquants lors des contrôles réglementaires.

Pour la journalisation et la surveillance, Kiteworks fournit des journaux d’audit immuables couvrant chaque accès aux données personnelles — qui, quoi, quand, où, comment — sur tous les canaux. Les alertes en temps réel préviennent immédiatement les équipes sécurité en cas d’activité suspecte. La détection d’anomalies dopée à l’IA identifie les accès inhabituels pouvant signaler une compromission. Et l’intégration SIEM exporte les journaux vers les plateformes de sécurité d’entreprise pour corrélation avec d’autres événements. C’est l’infrastructure de journalisation et de surveillance attendue par les régulateurs — et absente dans les deux cas.

Pour la conservation des données, Kiteworks applique des politiques automatisées qui suppriment les données personnelles après une période définie — avec gestion des legal holds pour préserver les données liées à un contentieux tout en supprimant le reste. Les journaux de suppression prouvent aux régulateurs que les données ont bien été effacées au moment requis. La classification des données permet d’appliquer les règles de conservation adaptées à chaque catégorie. C’est l’infrastructure de conservation qui aurait évité l’accumulation sur 20 ans et la conservation illicite relevées dans les deux cas.

Pour la conformité démontrable, Kiteworks propose des rapports de conformité RGPD préétablis, un tableau de bord RSSI offrant une visibilité en temps réel sur les accès et violations de politique, une documentation prête à l’audit, et un accompagnement à la notification de violation avec chronologies forensiques complètes pour l’exigence des 72 heures de l’article 33. Quand les régulateurs demandent la preuve que les mesures appropriées étaient en place, les organisations utilisant Kiteworks peuvent la fournir — car la plateforme la génère en continu, et non a posteriori.

Les agents IA rendent la conformité à l’article 32 plus difficile — et plus urgente

Les cas évoqués concernent des scénarios classiques de violation — des attaquants compromettant des systèmes pour accéder à des données personnelles. Mais les exigences de l’article 32 deviennent exponentiellement plus complexes dès lors que les organisations déploient des agents IA et outils d’IA générative traitant des données personnelles à grande échelle.

Chaque agent IA qui accède à des données personnelles crée une nouvelle identité nécessitant authentification et contrôle d’accès. Chaque interaction IA avec des données personnelles doit être journalisée. Chaque outil IA traitant des données personnelles doit respecter les politiques de conservation. Et chaque interaction IA-données doit être traçable et prouvable auprès des régulateurs.

Si les régulateurs infligent déjà des amendes de plusieurs dizaines de millions d’euros pour l’absence de MFA et de journalisation dans les systèmes traditionnels, imaginez l’exposition réglementaire lorsque ces mêmes failles existent dans les workflows des agents IA — où les données circulent plus vite, en plus grand volume, et avec moins de supervision humaine.

La passerelle de données IA Kiteworks et le serveur MCP sécurisé étendent ces mêmes contrôles de l’article 32 — authentification, journalisation, gouvernance des accès, application de la conservation — aux interactions IA. Que les données personnelles soient accédées par un utilisateur humain via un partage de fichiers ou par un agent IA via une API, les contrôles, l’audit et les preuves de conformité sont identiques. Une plateforme. Un moteur de politique. Un registre immuable.

La direction prise par l’application est claire. La question est : êtes-vous prêt ?

La mise à jour de février 2026 de Gibson Dunn raconte une histoire que les équipes conformité doivent prendre à cœur. Les régulateurs ne s’intéressent plus à l’existence d’une politique de protection des données. Ils veulent savoir si vous disposez de l’infrastructure technique pour l’appliquer — et si vous pouvez le prouver lors d’un contrôle.

Les violations citées dans ces cas — absence de MFA, pas de journalisation en temps réel, pas de conservation automatisée, accumulation illicite de données — ne sont ni exotiques ni inédites. Ce sont des échecs évitables d’hygiène de sécurité de base. Et ce sont précisément ces échecs que les régulateurs ont décidé de rendre coûteux.

Les organisations qui résisteront à ce nouvel environnement sont celles capables de fournir, à tout moment, la preuve que le MFA est appliqué à chaque accès aux données personnelles, que chaque accès est journalisé dans un audit immuable, que les politiques de conservation sont automatisées et traçables, et qu’elles peuvent reconstituer une chronologie forensique complète sous 72 heures après une violation.

Celles qui ne peuvent pas fournir cette preuve sont celles qui signent les chèques. Et à en juger par les précédents récents, ces chèques sont de plus en plus élevés.

Pour découvrir comment Kiteworks peut vous accompagner, réservez votre démo sans attendre !

Foire aux questions

Oui — et c’est précisément ce que met en lumière la mise à jour de février 2026 de Gibson Dunn. Les régulateurs sanctionnent désormais les faiblesses structurelles de sécurité qui ont permis ou augmenté la probabilité d’une violation, indépendamment du préjudice réel. Selon le principe de responsabilité de l’article 5(2), la charge de la preuve incombe à l’organisation : vous devez démontrer que les contrôles appropriés étaient en place. Si vous manquiez de MFA, de journalisation en temps réel ou de contrôles automatisés de minimisation des données, cette absence constitue une violation — et non un facteur atténuant — même si l’impact de la violation a finalement été limité.

Selon les dernières actions des régulateurs, trois contrôles constituent le strict minimum de l’article 32. Premièrement, une authentification forte : MFA pour chaque système traitant des données personnelles, avec vérification contextuelle renforcée pour les actions à risque comme les téléchargements massifs ou le partage externe. Deuxièmement, la journalisation en temps réel : des journaux d’audit immuables et complets enregistrant chaque accès à des données personnelles — qui, quoi, quand, où — avec alertes en direct pour les comportements suspects. Troisièmement, l’application automatisée de la conservation : des politiques supprimant les données personnelles après une période définie, avec des preuves de suppression pour prouver la conformité. Un document de politique ne remplace pas l’infrastructure technique permettant de les appliquer.

L’article 5(1)(e) impose que les données personnelles ne soient conservées que le temps nécessaire à leur finalité d’origine — après quoi elles doivent être supprimées ou anonymisées. Les cas Gibson Dunn montrent que les régulateurs considèrent la conservation excessive comme une violation à part entière : une agence a conservé des données plus de vingt ans ; le cas télécom a pointé une « conservation illicite » distincte des autres constats. Concrètement, les organisations doivent disposer de plannings de conservation automatisés, pas manuels. Elles doivent aussi pouvoir gérer les legal holds pour préserver les données liées à un contentieux tout en supprimant le reste, et fournir des journaux de suppression prouvant l’effacement sur demande des régulateurs.

Les mêmes exigences de l’article 32 — journalisation complète, surveillance en temps réel, enregistrements infalsifiables — s’appliquent à tout système accédant à des données personnelles, y compris les agents IA. Le risque réglementaire est même plus élevé avec les agents IA, car ils opèrent à la vitesse et à l’échelle machine, ce qui peut exposer bien plus de données avant détection. Les régulateurs ont déjà sanctionné des organisations pour « journalisation insuffisante » dans les systèmes classiques ; la même norme s’applique aux workflows IA. Chaque interaction IA-donnée doit être enregistrée dans un journal d’audit immuable avec identité, horodatage, données accédées et action réalisée — et ces enregistrements doivent pouvoir être fournis à un régulateur selon le principe de responsabilité de l’article 5(2).

L’article 33 impose de notifier l’autorité de contrôle compétente dans les 72 heures après avoir eu connaissance d’une violation de données personnelles. La notification doit décrire la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d’enregistrements affectés, les conséquences probables et les mesures prises ou prévues pour y remédier. Le cas télécom cité dans la mise à jour Gibson Dunn a été sanctionné pour « notifications de violation incomplètes » — c’est-à-dire que la déclaration n’était pas suffisamment détaillée. Cela découle presque toujours d’une infrastructure de journalisation inadéquate : sans journaux d’audit complets et surveillance en temps réel, il est impossible de reconstituer ce qui s’est passé, qui a été affecté et quelles données ont été exposées en moins de 72 heures. L’intégration SIEM et les capacités de chronologie forensique qui permettent la conformité à l’article 33 sont indissociables des exigences de journalisation de l’article 32.

Ressources complémentaires

  • Article de blogComprendre et respecter les exigences RGPD en matière de localisation des données
  • Article de blogComment envoyer des informations personnelles identifiables par e-mail en conformité avec le RGPD : guide pour des communications e-mail sécurisées
  • Article de blogAtteindre la conformité RGPD pour être conforme à la nouvelle loi européenne sur la protection des données
  • Article de blogComment partager des fichiers avec des partenaires internationaux sans enfreindre le RGPD
  • Article de blogComment créer des formulaires conformes au RGPD

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks