{"id":23136,"date":"2026-07-07T10:00:00","date_gmt":"2026-07-07T10:00:00","guid":{"rendered":"https:\/\/atiasavocats.com\/?p=23136"},"modified":"2026-07-06T10:55:11","modified_gmt":"2026-07-06T10:55:11","slug":"annexe-toms-modele-mesures-securite","status":"publish","type":"post","link":"https:\/\/atiasavocats.com\/en\/annexe-toms-modele-mesures-securite\/","title":{"rendered":"Annexe TOMS (mesures techniques et organisationnelles) : mod\u00e8le"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><em><br><em>Par\u00a0<\/em><a href=\"https:\/\/www.malt.fr\/profile\/josephdavidatias\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a><em>, avocat au Barreau de Paris \u00b7\u00a0<\/em><a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>LinkedIn<\/em><\/a><em>\u00a0\u00b7 Juillet 2026<\/em><\/em><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">L&rsquo;annexe TOMS est la grande oubli\u00e9e des contrats de protection des donn\u00e9es. On soigne le DPA, on n\u00e9glige son annexe s\u00e9curit\u00e9. Pourtant, c&rsquo;est elle qui transforme l&rsquo;obligation abstraite de l&rsquo;article 32 du RGPD en engagements concrets et v\u00e9rifiables. Une annexe pr\u00e9cise prot\u00e8ge r\u00e9ellement ; une annexe vague, purement d\u00e9clarative, n&rsquo;offre qu&rsquo;une fausse s\u00e9curit\u00e9. En cas de contr\u00f4le CNIL ou de violation de donn\u00e9es, c&rsquo;est ce document qui prouve \u2014 ou non \u2014 que les mesures \u00e9taient \u00e0 la hauteur du risque. Cet article propose un mod\u00e8le comment\u00e9, son cadre juridique et les pi\u00e8ges \u00e0 \u00e9viter pour r\u00e9diger une annexe opposable.<\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">SOMMAIRE<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"#section-1\">Pourquoi l&rsquo;annexe TOMS est strat\u00e9gique en 2026<\/a><\/li>\n\n\n\n<li><a href=\"#section-2\">Le cadre juridique applicable<\/a><\/li>\n\n\n\n<li><a href=\"#section-3\">Les 8 cat\u00e9gories de mesures \u00e0 inclure<\/a><\/li>\n\n\n\n<li><a href=\"#section-4\">Tableau de synth\u00e8se des mesures<\/a><\/li>\n\n\n\n<li><a href=\"#section-5\">Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/a><\/li>\n\n\n\n<li><a href=\"#section-6\">Pourquoi faire appel \u00e0 Atias Avocats<\/a><\/li>\n\n\n\n<li><a href=\"#faq\">FAQ \u2014 Questions fr\u00e9quentes<\/a><\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">1. Pourquoi l&rsquo;annexe TOMS est strat\u00e9gique en 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;annexe TOMS est pass\u00e9e d&rsquo;une formalit\u00e9 annexe \u00e0 une pi\u00e8ce ma\u00eetresse de la conformit\u00e9. Elle mat\u00e9rialise la s\u00e9curit\u00e9 r\u00e9elle des donn\u00e9es. Trois dynamiques renforcent son importance en 2026.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.1 La s\u00e9curit\u00e9, premier motif de sanction CNIL<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les manquements \u00e0 la s\u00e9curit\u00e9 figurent parmi les premiers motifs de sanction de la CNIL. Une violation de donn\u00e9es r\u00e9v\u00e8le souvent des mesures insuffisantes. Or, ce document d\u00e9crit pr\u00e9cis\u00e9ment ces mesures. En cas de contr\u00f4le, elle est examin\u00e9e en priorit\u00e9. Une annexe vague ou absente devient alors une preuve du manquement, et non une protection. Sa qualit\u00e9 conditionne directement l&rsquo;exposition de l&rsquo;entreprise.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.2 Le durcissement avec NIS2<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La directive NIS2 (R\u00e8glement UE 2022\/2555) renforce les exigences de cybers\u00e9curit\u00e9 pour de nombreux secteurs. Elle impose une gestion des risques \u00e9tendue \u00e0 la cha\u00eene de fournisseurs (article 21). Elle devient l&rsquo;outil contractuel qui traduit ces exigences vis-\u00e0-vis des sous-traitants. Pour les entit\u00e9s essentielles et importantes, une annexe robuste n&rsquo;est plus seulement une bonne pratique RGPD : c&rsquo;est un maillon de la conformit\u00e9 NIS2.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.3 Les nouveaux risques li\u00e9s \u00e0 l&rsquo;IA<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En 2026, l&rsquo;int\u00e9gration de l&rsquo;IA dans les traitements cr\u00e9e des risques de s\u00e9curit\u00e9 in\u00e9dits. Les mod\u00e8les peuvent fuir des donn\u00e9es d&rsquo;entra\u00eenement, \u00eatre manipul\u00e9s ou produire des r\u00e9sultats biais\u00e9s. L&rsquo;annexe doit d\u00e9sormais int\u00e9grer des mesures propres \u00e0 l&rsquo;IA, en coh\u00e9rence avec le R\u00e8glement UE 2024\/1689 (AI Act). La s\u00e9curit\u00e9 des syst\u00e8mes d&rsquo;IA devient une composante \u00e0 part enti\u00e8re des mesures \u00e0 documenter. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Le cadre juridique applicable<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;annexe s\u00e9curit\u00e9 s&rsquo;enracine dans plusieurs textes. Quatre fondements principaux d\u00e9finissent son contenu et sa port\u00e9e obligatoire.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.1 L&rsquo;obligation de s\u00e9curit\u00e9 (article 32 du RGPD)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 32 du R\u00e8glement UE 2016\/679 (RGPD) impose des mesures techniques et organisationnelles adapt\u00e9es au risque. Il cite express\u00e9ment la pseudonymisation, le chiffrement, la confidentialit\u00e9, l&rsquo;int\u00e9grit\u00e9, la disponibilit\u00e9 et la r\u00e9silience, ainsi que des proc\u00e9dures de test r\u00e9gulier. L&rsquo;annexe est le document qui d\u00e9taille concr\u00e8tement ces mesures. Elle traduit une obligation de moyens renforc\u00e9e, proportionn\u00e9e \u00e0 la sensibilit\u00e9 des donn\u00e9es trait\u00e9es.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.2 Le lien avec le DPA (article 28)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 28 du RGPD exige que le contrat de sous-traitance, le DPA (Data Processing Agreement), pr\u00e9voie les mesures de s\u00e9curit\u00e9 de l&rsquo;article 32. L&rsquo;annexe en est le support naturel. Elle s&rsquo;attache au DPA et en constitue une partie int\u00e9grante. Un DPA sans annexe d\u00e9taill\u00e9e est incomplet. \u00c0 l&rsquo;inverse, une annexe solide donne au DPA sa force concr\u00e8te et sa valeur probatoire.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.3 Le principe d&rsquo;accountability (article 5)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 5 paragraphe 2 du RGPD pose le principe d&rsquo;accountability, c&rsquo;est-\u00e0-dire l&rsquo;obligation de pouvoir d\u00e9montrer sa conformit\u00e9. La charge de la preuve p\u00e8se sur le responsable de traitement. L&rsquo;annexe est l&rsquo;un des principaux \u00e9l\u00e9ments de cette preuve. En cas de contr\u00f4le, elle d\u00e9montre que les mesures de s\u00e9curit\u00e9 avaient \u00e9t\u00e9 d\u00e9finies et impos\u00e9es contractuellement. Sans elle, la d\u00e9monstration de conformit\u00e9 devient tr\u00e8s difficile.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.4 L&rsquo;articulation avec NIS2 et l&rsquo;AI Act<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;annexe croise d&rsquo;autres r\u00e9glementations en 2026. La directive NIS2 (R\u00e8glement UE 2022\/2555) impose des mesures de cybers\u00e9curit\u00e9 \u00e9tendues aux fournisseurs. L&rsquo;AI Act (R\u00e8glement UE 2024\/1689) ajoute des exigences pour les syst\u00e8mes d&rsquo;IA, notamment la robustesse et la s\u00e9curit\u00e9 (article 15). Une annexe moderne articule ces diff\u00e9rents cadres. Elle devient un document transversal de conformit\u00e9. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/it-contracts\/\"><strong>services en mati\u00e8re de contrats commerciaux et IT<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Les 8 cat\u00e9gories de mesures \u00e0 inclure<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Une annexe compl\u00e8te couvre huit cat\u00e9gories de mesures. Chacune doit \u00eatre d\u00e9crite de fa\u00e7on concr\u00e8te, v\u00e9rifiable et adapt\u00e9e au risque r\u00e9el du traitement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 Le contr\u00f4le d&rsquo;acc\u00e8s<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La premi\u00e8re cat\u00e9gorie encadre l&rsquo;acc\u00e8s aux donn\u00e9es. Elle pr\u00e9voit l&rsquo;authentification forte (\u00e0 plusieurs facteurs), la gestion fine des habilitations, le principe du moindre privil\u00e8ge, la r\u00e9vocation rapide des acc\u00e8s. L&rsquo;annexe doit pr\u00e9ciser qui acc\u00e8de \u00e0 quoi, comment les droits sont attribu\u00e9s et revus. Un contr\u00f4le d&rsquo;acc\u00e8s robuste est la premi\u00e8re barri\u00e8re contre les acc\u00e8s non autoris\u00e9s, cause majeure de violations de donn\u00e9es.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 Le chiffrement des donn\u00e9es<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La deuxi\u00e8me cat\u00e9gorie concerne le chiffrement. Il doit couvrir les donn\u00e9es au repos (stock\u00e9es) et en transit (en circulation). L&rsquo;annexe doit pr\u00e9ciser les protocoles et standards utilis\u00e9s, par exemple un chiffrement reconnu pour les donn\u00e9es stock\u00e9es et le protocole TLS pour les \u00e9changes. Le chiffrement rend les donn\u00e9es inexploitables en cas de vol. C&rsquo;est une mesure cit\u00e9e express\u00e9ment par l&rsquo;article 32 du RGPD.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.3 La pseudonymisation et la minimisation<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La troisi\u00e8me cat\u00e9gorie porte sur la r\u00e9duction du risque \u00e0 la source. La pseudonymisation (remplacement des identifiants directs par des pseudonymes) limite l&rsquo;impact d&rsquo;une fuite. La minimisation restreint les donn\u00e9es trait\u00e9es au strict n\u00e9cessaire. L&rsquo;annexe doit d\u00e9crire ces techniques lorsqu&rsquo;elles sont applicables. Elles r\u00e9duisent l&rsquo;exposition et sont, elles aussi, express\u00e9ment valoris\u00e9es par l&rsquo;article 32 du RGPD.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.4 La tra\u00e7abilit\u00e9 et la journalisation<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La quatri\u00e8me cat\u00e9gorie assure la tra\u00e7abilit\u00e9. La journalisation (logs) enregistre les acc\u00e8s et les actions sur les donn\u00e9es. Elle permet de d\u00e9tecter les anomalies et d&rsquo;enqu\u00eater apr\u00e8s un incident. L&rsquo;annexe doit pr\u00e9ciser ce qui est journalis\u00e9, la dur\u00e9e de conservation des journaux et leur protection. Une journalisation efficace est indispensable pour d\u00e9montrer la ma\u00eetrise des acc\u00e8s et reconstituer le d\u00e9roul\u00e9 d&rsquo;une violation.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.5 La sauvegarde et la continuit\u00e9<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La cinqui\u00e8me cat\u00e9gorie garantit la disponibilit\u00e9. Elle couvre les sauvegardes r\u00e9guli\u00e8res, leur test, et le plan de continuit\u00e9 d&rsquo;activit\u00e9 (PCA) et de reprise apr\u00e8s sinistre. L&rsquo;annexe doit pr\u00e9ciser la fr\u00e9quence des sauvegardes, leur localisation et les d\u00e9lais de restauration. La disponibilit\u00e9 est l&rsquo;un des trois piliers de la s\u00e9curit\u00e9 avec la confidentialit\u00e9 et l&rsquo;int\u00e9grit\u00e9, express\u00e9ment vis\u00e9s par l&rsquo;article 32 du RGPD.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.6 La s\u00e9curit\u00e9 physique<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La sixi\u00e8me cat\u00e9gorie concerne la protection des lieux. Elle couvre la s\u00e9curit\u00e9 des centres de donn\u00e9es et des locaux : contr\u00f4le d&rsquo;acc\u00e8s physique, vid\u00e9osurveillance, protection contre l&rsquo;incendie et les d\u00e9g\u00e2ts. L&rsquo;annexe doit pr\u00e9ciser ces mesures ou renvoyer aux certifications des h\u00e9bergeurs. La s\u00e9curit\u00e9 physique est souvent n\u00e9glig\u00e9e dans les annexes, alors qu&rsquo;elle conditionne la protection mat\u00e9rielle des serveurs et des donn\u00e9es.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.7 La gestion des incidents et violations<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La septi\u00e8me cat\u00e9gorie organise la r\u00e9action. Elle d\u00e9crit la proc\u00e9dure de d\u00e9tection, de qualification et de notification des incidents et violations. L&rsquo;annexe doit pr\u00e9voir un d\u00e9lai d&rsquo;alerte court vers le responsable de traitement, pour lui permettre de respecter son d\u00e9lai de 72 heures envers la CNIL (article 33 du RGPD). Une gestion structur\u00e9e des incidents limite l&rsquo;impact d&rsquo;une violation et d\u00e9montre la ma\u00eetrise du risque.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.8 Les mesures organisationnelles<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La huiti\u00e8me cat\u00e9gorie couvre l&rsquo;humain et l&rsquo;organisation. Elle inclut la politique de s\u00e9curit\u00e9, la sensibilisation et la formation du personnel, les engagements de confidentialit\u00e9, la gestion des sous-traitants ult\u00e9rieurs et la d\u00e9signation de responsables. Ces mesures organisationnelles compl\u00e8tent les mesures techniques. La s\u00e9curit\u00e9 ne repose jamais sur la seule technique : la dimension humaine est souvent le maillon d\u00e9cisif d&rsquo;une annexe solide.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Tableau de synth\u00e8se des mesures<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le tableau ci-dessous synth\u00e9tise les 8 cat\u00e9gories de mesures de l&rsquo;annexe, leur objectif et leur niveau de criticit\u00e9.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Cat\u00e9gorie de mesure<\/th><th class=\"has-text-align-left\" data-align=\"left\">Objectif<\/th><th class=\"has-text-align-left\" data-align=\"left\">Criticit\u00e9<\/th><\/tr><\/thead><tbody><tr><td>1. Contr\u00f4le d&rsquo;acc\u00e8s<\/td><td>Limiter les acc\u00e8s autoris\u00e9s<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>2. Chiffrement<\/td><td>Prot\u00e9ger les donn\u00e9es au repos et en transit<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>3. Pseudonymisation<\/td><td>R\u00e9duire l&rsquo;impact d&rsquo;une fuite<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>4. Journalisation<\/td><td>Tracer et d\u00e9tecter les anomalies<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>5. Sauvegarde et continuit\u00e9<\/td><td>Garantir la disponibilit\u00e9<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>6. S\u00e9curit\u00e9 physique<\/td><td>Prot\u00e9ger les locaux et serveurs<\/td><td>\ud83d\udfe1 Moyenne<\/td><\/tr><tr><td>7. Gestion des incidents<\/td><td>R\u00e9agir et notifier vite<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>8. Mesures organisationnelles<\/td><td>S\u00e9curiser l&rsquo;humain et l&rsquo;organisation<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">5. Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Au-del\u00e0 du mod\u00e8le, plusieurs pi\u00e8ges r\u00e9currents rendent l&rsquo;annexe inefficace. Les identifier permet de r\u00e9diger un document r\u00e9ellement protecteur.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.1 Se contenter de paraphraser l&rsquo;article 32<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le premier pi\u00e8ge est l&rsquo;annexe purement d\u00e9clarative. Beaucoup d&rsquo;annexes se bornent \u00e0 recopier l&rsquo;article 32 du RGPD : \u00ab le sous-traitant met en \u0153uvre des mesures appropri\u00e9es \u00bb. C&rsquo;est inutile. Une annexe doit d\u00e9crire des mesures concr\u00e8tes et identifiables. La paraphrase du texte l\u00e9gal n&rsquo;engage \u00e0 rien et ne prot\u00e8ge pas. La pr\u00e9cision op\u00e9rationnelle est ce qui distingue une annexe efficace d&rsquo;un document vide.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.2 R\u00e9diger des mesures vagues et non v\u00e9rifiables<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le deuxi\u00e8me pi\u00e8ge est le flou. \u00ab Les donn\u00e9es sont s\u00e9curis\u00e9es \u00bb ne veut rien dire. Il faut \u00e9crire \u00ab chiffrement des donn\u00e9es au repos selon un standard reconnu \u00bb ou \u00ab authentification \u00e0 deux facteurs obligatoire \u00bb. Une mesure vague est inopposable et inauditable. Chaque mesure de l&rsquo;annexe doit \u00eatre suffisamment pr\u00e9cise pour \u00eatre v\u00e9rifi\u00e9e lors d&rsquo;un audit ou contest\u00e9e en cas de manquement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.3 Laisser le fournisseur d\u00e9grader le niveau unilat\u00e9ralement<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le troisi\u00e8me pi\u00e8ge est la clause d&rsquo;\u00e9volution unilat\u00e9rale. Beaucoup d&rsquo;annexes pr\u00e9voient que les mesures \u00ab peuvent \u00e9voluer \u00bb. En pratique, cela autorise le fournisseur \u00e0 r\u00e9duire la s\u00e9curit\u00e9 sans accord. L&rsquo;annexe doit interdire toute d\u00e9gradation du niveau de s\u00e9curit\u00e9. Les mesures peuvent s&rsquo;am\u00e9liorer, jamais r\u00e9gresser. Une clause de maintien du niveau de s\u00e9curit\u00e9 est indispensable pour pr\u00e9server la protection dans la dur\u00e9e.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.4 Ne pas adapter les mesures au risque r\u00e9el<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le quatri\u00e8me pi\u00e8ge est l&rsquo;annexe g\u00e9n\u00e9rique. L&rsquo;article 32 du RGPD impose des mesures proportionn\u00e9es au risque. Une annexe identique pour des donn\u00e9es de contact et pour des donn\u00e9es de sant\u00e9 est inadapt\u00e9e. Les donn\u00e9es sensibles (sant\u00e9, biom\u00e9trie) exigent des mesures renforc\u00e9es et, pour la sant\u00e9, un h\u00e9bergement certifi\u00e9 HDS (H\u00e9bergeur de Donn\u00e9es de Sant\u00e9). L&rsquo;annexe doit refl\u00e9ter la sensibilit\u00e9 r\u00e9elle des donn\u00e9es trait\u00e9es.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.5 Oublier de tenir l&rsquo;annexe \u00e0 jour<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le cinqui\u00e8me pi\u00e8ge est l&rsquo;obsolescence. Les syst\u00e8mes \u00e9voluent, les menaces aussi, et l&rsquo;IA introduit de nouveaux risques. Une annexe fig\u00e9e devient vite d\u00e9cal\u00e9e par rapport \u00e0 la r\u00e9alit\u00e9 technique. Le document doit \u00eatre r\u00e9vis\u00e9 p\u00e9riodiquement et \u00e0 chaque \u00e9volution majeure du traitement. Une annexe \u00e0 jour d\u00e9montre une d\u00e9marche de s\u00e9curit\u00e9 vivante, bien plus cr\u00e9dible qu&rsquo;un document sign\u00e9 une fois puis oubli\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Pourquoi faire appel \u00e0 Atias Avocats<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">R\u00e9diger une annexe TOMS \u00e0 la hauteur des enjeux exige une combinaison rare de comp\u00e9tences : ma\u00eetrise du RGPD et de l&rsquo;article 32 (obligation de s\u00e9curit\u00e9), compr\u00e9hension technique des mesures de s\u00e9curit\u00e9 (chiffrement, contr\u00f4le d&rsquo;acc\u00e8s, journalisation, continuit\u00e9), connaissance des certifications (ISO 27001, SOC 2, HDS) et des r\u00e9glementations connexes (NIS2, AI Act). Cette double culture juridique et technique est pr\u00e9cis\u00e9ment la valeur ajout\u00e9e d&rsquo;un cabinet sp\u00e9cialis\u00e9 en protection des donn\u00e9es et droit du num\u00e9rique.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Atias Avocats accompagne DPO, DSI, RSSI, directions juridiques, fondateurs et grands groupes sur l&rsquo;ensemble du sujet : r\u00e9daction d&rsquo;une annexe sur mesure adoss\u00e9e au DPA, revue critique de l&rsquo;annexe d&rsquo;un fournisseur, adaptation des mesures au niveau de risque r\u00e9el, articulation avec NIS2 et l&rsquo;AI Act, accompagnement en cas de contr\u00f4le CNIL ou de violation de donn\u00e9es. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;annexe TOMS n&rsquo;est pas un appendice technique secondaire : c&rsquo;est le c\u0153ur op\u00e9rationnel de la s\u00e9curit\u00e9 des donn\u00e9es. Elle transforme l&rsquo;obligation abstraite de l&rsquo;article 32 du RGPD en engagements concrets, contraignants et v\u00e9rifiables. Les huit cat\u00e9gories de mesures pr\u00e9sent\u00e9es ici \u2014 contr\u00f4le d&rsquo;acc\u00e8s, chiffrement, pseudonymisation, journalisation, sauvegarde, s\u00e9curit\u00e9 physique, gestion des incidents, mesures organisationnelles \u2014 combin\u00e9es \u00e0 la vigilance sur les cinq pi\u00e8ges classiques, offrent un r\u00e9f\u00e9rentiel directement utilisable par DPO, DSI et RSSI.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00c0 l&rsquo;heure de NIS2 et de l&rsquo;IA, une annexe pr\u00e9cise est un investissement de protection, pas une formalit\u00e9. Le r\u00e9flexe \u00e0 adopter est clair : d\u00e9crire des mesures concr\u00e8tes, les adapter au risque, interdire toute d\u00e9gradation, pr\u00e9voir l&rsquo;audit, et tenir le document \u00e0 jour. C&rsquo;est pr\u00e9cis\u00e9ment cette rigueur qui transforme une annexe s\u00e9curit\u00e9 en bouclier r\u00e9el.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">FAQ \u2014 Questions fr\u00e9quentes<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Qu&rsquo;est-ce qu&rsquo;une annexe TOMS ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Une annexe TOMS d\u00e9crit les mesures techniques et organisationnelles de s\u00e9curit\u00e9 (en anglais Technical and Organisational Measures) mises en \u0153uvre pour prot\u00e9ger les donn\u00e9es personnelles. Elle compl\u00e8te obligatoirement le DPA (Data Processing Agreement, l&rsquo;accord de sous-traitance exig\u00e9 par l&rsquo;article 28 du RGPD). Impos\u00e9e par l&rsquo;article 32 du RGPD, elle d\u00e9taille concr\u00e8tement comment le sous-traitant s\u00e9curise les donn\u00e9es : chiffrement, contr\u00f4le d&rsquo;acc\u00e8s, journalisation, sauvegarde, gestion des incidents. Son r\u00f4le est de transformer l&rsquo;obligation g\u00e9n\u00e9rale de s\u00e9curit\u00e9 en engagements pr\u00e9cis et v\u00e9rifiables. Une annexe bien r\u00e9dig\u00e9e est contraignante et auditable ; une annexe vague ou purement d\u00e9clarative n&rsquo;offre aucune protection r\u00e9elle. C&rsquo;est pourquoi elle m\u00e9rite une attention particuli\u00e8re, tant lors de la r\u00e9daction d&rsquo;un DPA que lors de la revue du DPA standard d&rsquo;un fournisseur.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">L&rsquo;annexe TOMS est-elle obligatoire ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Oui, indirectement mais n\u00e9cessairement. L&rsquo;article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en \u0153uvre des mesures de s\u00e9curit\u00e9 adapt\u00e9es au risque. L&rsquo;article 28 exige que le DPA pr\u00e9voie ces mesures. En pratique, l&rsquo;annexe est le support qui documente ces mesures dans le contrat. Sans elle, le DPA reste incomplet et le respect de l&rsquo;article 32 ne peut \u00eatre d\u00e9montr\u00e9. Or, la charge de la preuve de la conformit\u00e9 p\u00e8se sur le responsable de traitement (principe d&rsquo;accountability, article 5 paragraphe 2 du RGPD). En cas de contr\u00f4le CNIL ou de violation de donn\u00e9es, l&rsquo;absence d&rsquo;annexe pr\u00e9cise est un manquement caract\u00e9ris\u00e9. Elle est donc un document incontournable de toute relation de sous-traitance.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quelles mesures doit contenir une annexe TOMS ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Une annexe TOMS compl\u00e8te couvre huit cat\u00e9gories de mesures. Le contr\u00f4le d&rsquo;acc\u00e8s (authentification forte, gestion des habilitations). Le chiffrement (des donn\u00e9es stock\u00e9es et en transit). La pseudonymisation lorsqu&rsquo;elle est pertinente. La tra\u00e7abilit\u00e9 et la journalisation des acc\u00e8s. La sauvegarde et la continuit\u00e9 d&rsquo;activit\u00e9 (PCA, plan de continuit\u00e9). La s\u00e9curit\u00e9 physique des locaux et des serveurs. La gestion des incidents et des violations. Enfin, les mesures organisationnelles : sensibilisation du personnel, politique de s\u00e9curit\u00e9, gestion des sous-traitants, confidentialit\u00e9. Chaque mesure doit \u00eatre d\u00e9crite de fa\u00e7on concr\u00e8te et v\u00e9rifiable, et non par une formule vague. L&rsquo;annexe gagne aussi \u00e0 mentionner les certifications obtenues (ISO 27001, SOC 2, HDS pour la sant\u00e9), qui attestent du niveau de s\u00e9curit\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Comment savoir si une annexe TOMS est suffisante ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Une annexe TOMS est suffisante si elle est pr\u00e9cise, contraignante, adapt\u00e9e au risque et v\u00e9rifiable. Pr\u00e9cise : elle d\u00e9crit des mesures concr\u00e8tes, pas des intentions (par exemple \u00ab chiffrement AES-256 des donn\u00e9es au repos \u00bb, et non \u00ab les donn\u00e9es sont s\u00e9curis\u00e9es \u00bb). Contraignante : elle interdit toute d\u00e9gradation unilat\u00e9rale du niveau de s\u00e9curit\u00e9. Adapt\u00e9e au risque : les mesures sont proportionn\u00e9es \u00e0 la sensibilit\u00e9 des donn\u00e9es (des donn\u00e9es de sant\u00e9 exigent davantage que des donn\u00e9es de contact). V\u00e9rifiable : elle permet un audit ou s&rsquo;appuie sur des certifications reconnues. \u00c0 l&rsquo;inverse, une annexe qui se contente de paraphraser l&rsquo;article 32 du RGPD sans d\u00e9tail op\u00e9rationnel est insuffisante. Elle doit refl\u00e9ter la r\u00e9alit\u00e9 technique du traitement et \u00e9voluer avec lui.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Contact : <a href=\"mailto:david@atiasavocats.com\">david@atiasavocats.com<\/a> | LinkedIn: <a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a> | <a href=\"https:\/\/atiasavocats.com\/en\/\">https:\/\/www.atiasavocats.com<\/a> | 42 rue de la Clef, 75005 Paris<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Atias Avocats \u2014 RGPD, S\u00e9curit\u00e9 des donn\u00e9es, DPA, Conformit\u00e9<\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Par\u00a0David Joseph Atias, avocat au Barreau de Paris \u00b7\u00a0LinkedIn\u00a0\u00b7 Juillet 2026 L&rsquo;annexe TOMS est la grande oubli\u00e9e des contrats de protection des donn\u00e9es. On soigne le DPA, on n\u00e9glige son&hellip;<\/p>","protected":false},"author":1,"featured_media":23137,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[186],"tags":[],"class_list":["post-23136","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-legal-services"],"_links":{"self":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23136","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/comments?post=23136"}],"version-history":[{"count":1,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23136\/revisions"}],"predecessor-version":[{"id":23138,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23136\/revisions\/23138"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media\/23137"}],"wp:attachment":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media?parent=23136"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/categories?post=23136"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/tags?post=23136"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}