Skip to content Skip to sidebar Skip to footer

Annexe TOMS (mesures techniques et organisationnelles) : modèle


Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juillet 2026

L’annexe TOMS est la grande oubliée des contrats de protection des données. On soigne le DPA, on néglige son annexe sécurité. Pourtant, c’est elle qui transforme l’obligation abstraite de l’article 32 du RGPD en engagements concrets et vérifiables. Une annexe précise protège réellement ; une annexe vague, purement déclarative, n’offre qu’une fausse sécurité. En cas de contrôle CNIL ou de violation de données, c’est ce document qui prouve — ou non — que les mesures étaient à la hauteur du risque. Cet article propose un modèle commenté, son cadre juridique et les pièges à éviter pour rédiger une annexe opposable.

SOMMAIRE

  1. Pourquoi l’annexe TOMS est stratégique en 2026
  2. Le cadre juridique applicable
  3. Les 8 catégories de mesures à inclure
  4. Tableau de synthèse des mesures
  5. Les 5 pièges à éviter
  6. Pourquoi faire appel à Atias Avocats
  7. FAQ — Questions fréquentes

1. Pourquoi l’annexe TOMS est stratégique en 2026

L’annexe TOMS est passée d’une formalité annexe à une pièce maîtresse de la conformité. Elle matérialise la sécurité réelle des données. Trois dynamiques renforcent son importance en 2026.

1.1 La sécurité, premier motif de sanction CNIL

Les manquements à la sécurité figurent parmi les premiers motifs de sanction de la CNIL. Une violation de données révèle souvent des mesures insuffisantes. Or, ce document décrit précisément ces mesures. En cas de contrôle, elle est examinée en priorité. Une annexe vague ou absente devient alors une preuve du manquement, et non une protection. Sa qualité conditionne directement l’exposition de l’entreprise.

1.2 Le durcissement avec NIS2

La directive NIS2 (Règlement UE 2022/2555) renforce les exigences de cybersécurité pour de nombreux secteurs. Elle impose une gestion des risques étendue à la chaîne de fournisseurs (article 21). Elle devient l’outil contractuel qui traduit ces exigences vis-à-vis des sous-traitants. Pour les entités essentielles et importantes, une annexe robuste n’est plus seulement une bonne pratique RGPD : c’est un maillon de la conformité NIS2.

1.3 Les nouveaux risques liés à l’IA

En 2026, l’intégration de l’IA dans les traitements crée des risques de sécurité inédits. Les modèles peuvent fuir des données d’entraînement, être manipulés ou produire des résultats biaisés. L’annexe doit désormais intégrer des mesures propres à l’IA, en cohérence avec le Règlement UE 2024/1689 (AI Act). La sécurité des systèmes d’IA devient une composante à part entière des mesures à documenter. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.

2. Le cadre juridique applicable

L’annexe sécurité s’enracine dans plusieurs textes. Quatre fondements principaux définissent son contenu et sa portée obligatoire.

2.1 L’obligation de sécurité (article 32 du RGPD)

L’article 32 du Règlement UE 2016/679 (RGPD) impose des mesures techniques et organisationnelles adaptées au risque. Il cite expressément la pseudonymisation, le chiffrement, la confidentialité, l’intégrité, la disponibilité et la résilience, ainsi que des procédures de test régulier. L’annexe est le document qui détaille concrètement ces mesures. Elle traduit une obligation de moyens renforcée, proportionnée à la sensibilité des données traitées.

2.2 Le lien avec le DPA (article 28)

L’article 28 du RGPD exige que le contrat de sous-traitance, le DPA (Data Processing Agreement), prévoie les mesures de sécurité de l’article 32. L’annexe en est le support naturel. Elle s’attache au DPA et en constitue une partie intégrante. Un DPA sans annexe détaillée est incomplet. À l’inverse, une annexe solide donne au DPA sa force concrète et sa valeur probatoire.

2.3 Le principe d’accountability (article 5)

L’article 5 paragraphe 2 du RGPD pose le principe d’accountability, c’est-à-dire l’obligation de pouvoir démontrer sa conformité. La charge de la preuve pèse sur le responsable de traitement. L’annexe est l’un des principaux éléments de cette preuve. En cas de contrôle, elle démontre que les mesures de sécurité avaient été définies et imposées contractuellement. Sans elle, la démonstration de conformité devient très difficile.

2.4 L’articulation avec NIS2 et l’AI Act

L’annexe croise d’autres réglementations en 2026. La directive NIS2 (Règlement UE 2022/2555) impose des mesures de cybersécurité étendues aux fournisseurs. L’AI Act (Règlement UE 2024/1689) ajoute des exigences pour les systèmes d’IA, notamment la robustesse et la sécurité (article 15). Une annexe moderne articule ces différents cadres. Elle devient un document transversal de conformité. Pour aller plus loin, consultez nos services en matière de contrats commerciaux et IT.

3. Les 8 catégories de mesures à inclure

Une annexe complète couvre huit catégories de mesures. Chacune doit être décrite de façon concrète, vérifiable et adaptée au risque réel du traitement.

3.1 Le contrôle d’accès

La première catégorie encadre l’accès aux données. Elle prévoit l’authentification forte (à plusieurs facteurs), la gestion fine des habilitations, le principe du moindre privilège, la révocation rapide des accès. L’annexe doit préciser qui accède à quoi, comment les droits sont attribués et revus. Un contrôle d’accès robuste est la première barrière contre les accès non autorisés, cause majeure de violations de données.

3.2 Le chiffrement des données

La deuxième catégorie concerne le chiffrement. Il doit couvrir les données au repos (stockées) et en transit (en circulation). L’annexe doit préciser les protocoles et standards utilisés, par exemple un chiffrement reconnu pour les données stockées et le protocole TLS pour les échanges. Le chiffrement rend les données inexploitables en cas de vol. C’est une mesure citée expressément par l’article 32 du RGPD.

3.3 La pseudonymisation et la minimisation

La troisième catégorie porte sur la réduction du risque à la source. La pseudonymisation (remplacement des identifiants directs par des pseudonymes) limite l’impact d’une fuite. La minimisation restreint les données traitées au strict nécessaire. L’annexe doit décrire ces techniques lorsqu’elles sont applicables. Elles réduisent l’exposition et sont, elles aussi, expressément valorisées par l’article 32 du RGPD.

3.4 La traçabilité et la journalisation

La quatrième catégorie assure la traçabilité. La journalisation (logs) enregistre les accès et les actions sur les données. Elle permet de détecter les anomalies et d’enquêter après un incident. L’annexe doit préciser ce qui est journalisé, la durée de conservation des journaux et leur protection. Une journalisation efficace est indispensable pour démontrer la maîtrise des accès et reconstituer le déroulé d’une violation.

3.5 La sauvegarde et la continuité

La cinquième catégorie garantit la disponibilité. Elle couvre les sauvegardes régulières, leur test, et le plan de continuité d’activité (PCA) et de reprise après sinistre. L’annexe doit préciser la fréquence des sauvegardes, leur localisation et les délais de restauration. La disponibilité est l’un des trois piliers de la sécurité avec la confidentialité et l’intégrité, expressément visés par l’article 32 du RGPD.

3.6 La sécurité physique

La sixième catégorie concerne la protection des lieux. Elle couvre la sécurité des centres de données et des locaux : contrôle d’accès physique, vidéosurveillance, protection contre l’incendie et les dégâts. L’annexe doit préciser ces mesures ou renvoyer aux certifications des hébergeurs. La sécurité physique est souvent négligée dans les annexes, alors qu’elle conditionne la protection matérielle des serveurs et des données.

3.7 La gestion des incidents et violations

La septième catégorie organise la réaction. Elle décrit la procédure de détection, de qualification et de notification des incidents et violations. L’annexe doit prévoir un délai d’alerte court vers le responsable de traitement, pour lui permettre de respecter son délai de 72 heures envers la CNIL (article 33 du RGPD). Une gestion structurée des incidents limite l’impact d’une violation et démontre la maîtrise du risque.

3.8 Les mesures organisationnelles

La huitième catégorie couvre l’humain et l’organisation. Elle inclut la politique de sécurité, la sensibilisation et la formation du personnel, les engagements de confidentialité, la gestion des sous-traitants ultérieurs et la désignation de responsables. Ces mesures organisationnelles complètent les mesures techniques. La sécurité ne repose jamais sur la seule technique : la dimension humaine est souvent le maillon décisif d’une annexe solide.

4. Tableau de synthèse des mesures

Le tableau ci-dessous synthétise les 8 catégories de mesures de l’annexe, leur objectif et leur niveau de criticité.

Catégorie de mesureObjectifCriticité
1. Contrôle d’accèsLimiter les accès autorisés🔴 Critique
2. ChiffrementProtéger les données au repos et en transit🔴 Critique
3. PseudonymisationRéduire l’impact d’une fuite🟠 Élevée
4. JournalisationTracer et détecter les anomalies🟠 Élevée
5. Sauvegarde et continuitéGarantir la disponibilité🔴 Critique
6. Sécurité physiqueProtéger les locaux et serveurs🟡 Moyenne
7. Gestion des incidentsRéagir et notifier vite🔴 Critique
8. Mesures organisationnellesSécuriser l’humain et l’organisation🟠 Élevée

5. Les 5 pièges à éviter

Au-delà du modèle, plusieurs pièges récurrents rendent l’annexe inefficace. Les identifier permet de rédiger un document réellement protecteur.

5.1 Se contenter de paraphraser l’article 32

Le premier piège est l’annexe purement déclarative. Beaucoup d’annexes se bornent à recopier l’article 32 du RGPD : « le sous-traitant met en œuvre des mesures appropriées ». C’est inutile. Une annexe doit décrire des mesures concrètes et identifiables. La paraphrase du texte légal n’engage à rien et ne protège pas. La précision opérationnelle est ce qui distingue une annexe efficace d’un document vide.

5.2 Rédiger des mesures vagues et non vérifiables

Le deuxième piège est le flou. « Les données sont sécurisées » ne veut rien dire. Il faut écrire « chiffrement des données au repos selon un standard reconnu » ou « authentification à deux facteurs obligatoire ». Une mesure vague est inopposable et inauditable. Chaque mesure de l’annexe doit être suffisamment précise pour être vérifiée lors d’un audit ou contestée en cas de manquement.

5.3 Laisser le fournisseur dégrader le niveau unilatéralement

Le troisième piège est la clause d’évolution unilatérale. Beaucoup d’annexes prévoient que les mesures « peuvent évoluer ». En pratique, cela autorise le fournisseur à réduire la sécurité sans accord. L’annexe doit interdire toute dégradation du niveau de sécurité. Les mesures peuvent s’améliorer, jamais régresser. Une clause de maintien du niveau de sécurité est indispensable pour préserver la protection dans la durée.

5.4 Ne pas adapter les mesures au risque réel

Le quatrième piège est l’annexe générique. L’article 32 du RGPD impose des mesures proportionnées au risque. Une annexe identique pour des données de contact et pour des données de santé est inadaptée. Les données sensibles (santé, biométrie) exigent des mesures renforcées et, pour la santé, un hébergement certifié HDS (Hébergeur de Données de Santé). L’annexe doit refléter la sensibilité réelle des données traitées.

5.5 Oublier de tenir l’annexe à jour

Le cinquième piège est l’obsolescence. Les systèmes évoluent, les menaces aussi, et l’IA introduit de nouveaux risques. Une annexe figée devient vite décalée par rapport à la réalité technique. Le document doit être révisé périodiquement et à chaque évolution majeure du traitement. Une annexe à jour démontre une démarche de sécurité vivante, bien plus crédible qu’un document signé une fois puis oublié.

6. Pourquoi faire appel à Atias Avocats

Rédiger une annexe TOMS à la hauteur des enjeux exige une combinaison rare de compétences : maîtrise du RGPD et de l’article 32 (obligation de sécurité), compréhension technique des mesures de sécurité (chiffrement, contrôle d’accès, journalisation, continuité), connaissance des certifications (ISO 27001, SOC 2, HDS) et des réglementations connexes (NIS2, AI Act). Cette double culture juridique et technique est précisément la valeur ajoutée d’un cabinet spécialisé en protection des données et droit du numérique.

Atias Avocats accompagne DPO, DSI, RSSI, directions juridiques, fondateurs et grands groupes sur l’ensemble du sujet : rédaction d’une annexe sur mesure adossée au DPA, revue critique de l’annexe d’un fournisseur, adaptation des mesures au niveau de risque réel, articulation avec NIS2 et l’AI Act, accompagnement en cas de contrôle CNIL ou de violation de données. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.

Conclusion

L’annexe TOMS n’est pas un appendice technique secondaire : c’est le cœur opérationnel de la sécurité des données. Elle transforme l’obligation abstraite de l’article 32 du RGPD en engagements concrets, contraignants et vérifiables. Les huit catégories de mesures présentées ici — contrôle d’accès, chiffrement, pseudonymisation, journalisation, sauvegarde, sécurité physique, gestion des incidents, mesures organisationnelles — combinées à la vigilance sur les cinq pièges classiques, offrent un référentiel directement utilisable par DPO, DSI et RSSI.

À l’heure de NIS2 et de l’IA, une annexe précise est un investissement de protection, pas une formalité. Le réflexe à adopter est clair : décrire des mesures concrètes, les adapter au risque, interdire toute dégradation, prévoir l’audit, et tenir le document à jour. C’est précisément cette rigueur qui transforme une annexe sécurité en bouclier réel.

FAQ — Questions fréquentes

Qu’est-ce qu’une annexe TOMS ?

Une annexe TOMS décrit les mesures techniques et organisationnelles de sécurité (en anglais Technical and Organisational Measures) mises en œuvre pour protéger les données personnelles. Elle complète obligatoirement le DPA (Data Processing Agreement, l’accord de sous-traitance exigé par l’article 28 du RGPD). Imposée par l’article 32 du RGPD, elle détaille concrètement comment le sous-traitant sécurise les données : chiffrement, contrôle d’accès, journalisation, sauvegarde, gestion des incidents. Son rôle est de transformer l’obligation générale de sécurité en engagements précis et vérifiables. Une annexe bien rédigée est contraignante et auditable ; une annexe vague ou purement déclarative n’offre aucune protection réelle. C’est pourquoi elle mérite une attention particulière, tant lors de la rédaction d’un DPA que lors de la revue du DPA standard d’un fournisseur.

L’annexe TOMS est-elle obligatoire ?

Oui, indirectement mais nécessairement. L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en œuvre des mesures de sécurité adaptées au risque. L’article 28 exige que le DPA prévoie ces mesures. En pratique, l’annexe est le support qui documente ces mesures dans le contrat. Sans elle, le DPA reste incomplet et le respect de l’article 32 ne peut être démontré. Or, la charge de la preuve de la conformité pèse sur le responsable de traitement (principe d’accountability, article 5 paragraphe 2 du RGPD). En cas de contrôle CNIL ou de violation de données, l’absence d’annexe précise est un manquement caractérisé. Elle est donc un document incontournable de toute relation de sous-traitance.

Quelles mesures doit contenir une annexe TOMS ?

Une annexe TOMS complète couvre huit catégories de mesures. Le contrôle d’accès (authentification forte, gestion des habilitations). Le chiffrement (des données stockées et en transit). La pseudonymisation lorsqu’elle est pertinente. La traçabilité et la journalisation des accès. La sauvegarde et la continuité d’activité (PCA, plan de continuité). La sécurité physique des locaux et des serveurs. La gestion des incidents et des violations. Enfin, les mesures organisationnelles : sensibilisation du personnel, politique de sécurité, gestion des sous-traitants, confidentialité. Chaque mesure doit être décrite de façon concrète et vérifiable, et non par une formule vague. L’annexe gagne aussi à mentionner les certifications obtenues (ISO 27001, SOC 2, HDS pour la santé), qui attestent du niveau de sécurité.

Comment savoir si une annexe TOMS est suffisante ?

Une annexe TOMS est suffisante si elle est précise, contraignante, adaptée au risque et vérifiable. Précise : elle décrit des mesures concrètes, pas des intentions (par exemple « chiffrement AES-256 des données au repos », et non « les données sont sécurisées »). Contraignante : elle interdit toute dégradation unilatérale du niveau de sécurité. Adaptée au risque : les mesures sont proportionnées à la sensibilité des données (des données de santé exigent davantage que des données de contact). Vérifiable : elle permet un audit ou s’appuie sur des certifications reconnues. À l’inverse, une annexe qui se contente de paraphraser l’article 32 du RGPD sans détail opérationnel est insuffisante. Elle doit refléter la réalité technique du traitement et évoluer avec lui.


Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris

Atias Avocats — RGPD, Sécurité des données, DPA, Conformité

Go to Top