Fiche de révision : Introduction à la protection des données personnelles

📋 Plan du Cours

  1. Contexte historique du RGPD
  2. Données personnelles et sensibles
  3. CNIL et protection des libertés
  4. Objectifs et principes du RGPD
  5. Consentement et sanctions
  6. Mise en conformité RGPD
  7. Sensibilisation des salariés
  8. Données RH sensibles
  9. Outils d’information des salariés

📖 1. Contexte historique du RGPD

🔑 Notions clés & Définitions

  • Économie digitale : L’économie digitale désigne la période où la diffusion d’Internet et des plateformes multiplie les usages de données, au-delà du contrôle direct des individus.
  • Cloud Computing : Le Cloud Computing correspond à l’utilisation de serveurs distants pour gérer et traiter des bases de données.
  • Business du prolage : Le business du prolage désigne une logique de personnalisation d’offres à partir de données envoyées à des publicitaires.

📝 Points essentiels

  • Le RGPD entre en vigueur le 25 mai 2018 dans l’Union européenne.
  • La croissance du Cloud Computing est présentée avec des estimations passant de 9,5 milliards d’euros à 44,8 milliards d’euros en 2020 depuis 2013.
  • Le cours relie la montée des données échappant au contrôle individuel à l’explosion d’Internet depuis environ 25 ans.
  • Des exemples de contrôles de conformité sont évoqués pour Facebook, rappelé à l’ordre pour des pratiques de données.

📖 2. Données personnelles et sensibles

🔑 Notions clés & Définitions

  • Donnée personnelle : Une donnée personnelle est une information permettant d’identifier directement ou indirectement une personne (nom, identifiant en ligne, localisation, etc.).
  • Donnée sensible : Une donnée sensible est une donnée particulièrement à risques dont le régime de protection est renforcé.
  • Donnée et information : Une donnée est le plus petit élément d’information qui prend sens une fois mise en relation avec un autre élément dans un contexte.

📝 Points essentiels

  • Une donnée est personnelle dès qu’elle identifie une personne.
  • Une donnée devient sensible si elle est « à risques », par exemple une information médicale.
  • L’article 9 du RGPD cite notamment origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques d’identification, données de santé, orientation ou vie sexuelle.

📖 3. CNIL et protection des libertés

🔑 Notions clés & Définitions

  • CNIL : La CNIL est la Commission Nationale de l’Informatique et des Libertés, chargée de veiller au respect des règles sur les données et les libertés en France.
  • Loi Informatique et Libertés : La loi Informatique et Libertés encadre la création et l’action de la CNIL en matière de contrôle des impacts de l’informatique.
  • Contrôleur du RGPD : Le contrôleur du RGPD désigne l’autorité qui surveille et fait appliquer les exigences du RGPD dans l’entreprise.

📝 Points essentiels

  • La CNIL est créée par la loi du 6 janvier 1978 pour contrôler l’impact de l’informatique et protéger les données personnelles en France.
  • La loi est réformée le 6 août 2004, avec un renforcement du pouvoir de contrôle et de sanction et un recentrage sur les droits des personnes.
  • Aujourd’hui, la CNIL est présentée comme le contrôleur du RGPD dans l’entreprise, sans obligation préalable de déclaration des données à la CNIL.

💡 Astuce mémo

1978→création de la CNIL ; 2004→contrôle/sanction renforcés ; 25/05/2018→RGPD en vigueur.

📖 4. Objectifs et principes du RGPD

🔑 Notions clés & Définitions

  • Traçabilité des données : La traçabilité des données désigne la capacité à suivre et justifier les traitements réalisés à partir des données.
  • Responsabilité des acteurs : La responsabilité des acteurs signifie que les entreprises et collecteurs doivent garantir le respect des règles de protection des données.
  • Collecte pertinente : La collecte pertinente signifie que les données doivent être recueillies en fonction de leur utilité réelle pour le traitement.

📝 Points essentiels

  • Le RGPD vise à renforcer les droits des personnes, responsabiliser les acteurs, et crédibiliser la régulation via la traçabilité.
  • Les données doivent être collectées selon leur pertinence, avec transparence et traçabilité pour la mise en conformité.
  • L’individu doit pouvoir consulter, rectifier ou supprimer les données détenues.
  • Le responsable doit conserver les données dans un lieu sûr, en maîtrisant les risques, afin de respecter les droits de l’individu.

📖 5. Consentement et sanctions

🔑 Notions clés & Définitions

  • Consentement du recueil : Le recueil du consentement est un acte volontaire et explicite par lequel la personne autorise un traitement de ses données personnelles.
  • Responsable de traitement : Le responsable de traitement est l’acteur qui doit pouvoir prouver le consentement et assurer la conformité du traitement.
  • Sanctions administratives : Les sanctions administratives sont des pénalités financières pouvant être prononcées en cas de non-respect des obligations RGPD.

📝 Points essentiels

  • Le consentement doit être un acte volontaire, explicite, écrit, obtenu avant la collecte et ne peut pas être obtenu « par défaut ».
  • La charge de la preuve repose sur le responsable de traitement.
  • En cas de manquement, des sanctions peuvent aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, selon les obligations concernées (article 83).
  • En cas de violations de principes et droits (notamment consentement, droits des personnes et transferts non européens), les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (article 83).

📖 6. Mise en conformité RGPD

🔑 Notions clés & Définitions

  • DPO : Le DPO (délégué à la protection des données) est la personne chargée d’orchestrer la mise en conformité avec les acteurs de l’entreprise.
  • Cartographie : La cartographie correspond à un état des lieux des traitements et données existants pour piloter la conformité.
  • PIA : La PIA (analyse d’impact relative à la protection des données) permet d’identifier et graduer les risques d’un traitement.

📝 Points essentiels

  • La mise en conformité associe le DPO, la direction, le responsable informatique ou système d’informations, et le responsable juridique.
  • La CNIL propose un guide complet et une méthode comprenant au moins : désignation d’un DPO, moyens dédiés, état des lieux (cartographie), minimisation/pertinence, registre des traitements et vérification de la nécessité d’une PIA.
  • Le plan cité inclut aussi : gestion des droits (accès, preuve du consentement), modification des processus, renouvellement d’autorisation, optimisation des données, plan d’archivage, analyse des risques sécurité et processus d’alerte en cas de violation.
  • Le cours mentionne aussi l’intégration de la « privacy by design » et « privacy by default » ainsi que la documentation de la mise en conformité.

💡 Astuce mémo

DPO + Carto + Registre + PIA + Droits + Sécurité + Privacy by design/default.

📖 7. Sensibilisation des salariés

🔑 Notions clés & Définitions

  • Transparence : La transparence est la règle selon laquelle les salariés doivent être informés pour comprendre les règles internes liées au RGPD.
  • Salariés acteurs du RGPD : Les salariés sont considérés comme des acteurs car leur comportement doit respecter les principes mis en place dans l’entreprise.
  • Droit d’accès des salariés : Le droit d’accès permet à un salarié de demander quelles données personnelles l’entreprise détient à son sujet.

📝 Points essentiels

  • L’entreprise doit informer les salariés et recueillir leur consentement pour les traitements qui les concernent.
  • Le cours rappelle que l’entreprise a des obligations envers ses salariés comme envers ses clients.
  • À la demande d’un salarié, l’entreprise doit répondre sur les données détenues et sur leur traitement, dans le cadre du RGPD (article 15 évoqué).
  • Le cours relie la sensibilisation à la nécessité d’un système d’information fiable pour stocker, modifier si besoin et prouver la protection des données.

📖 8. Données RH sensibles

🔑 Notions clés & Définitions

  • Service RH : Le service RH est présenté comme le lieu principal où sont stockées les données personnelles et sensibles liées aux salariés.
  • Données syndicales : Les données liées à l’appartenance syndicale sont traitées comme des données sensibles selon la liste citée pour l’article 9 RGPD.
  • Dossier médical : Le dossier médical d’un salarié regroupe des informations de santé, donc classées comme données sensibles.

📝 Points essentiels

  • Le cours situe le RGPD RH dès le recrutement et pose la question du délai de destruction des données.
  • Les informations sur un salarié doivent être détruites, en sécurité, 5 ans après le départ du salarié.
  • Les exemples de données RH incluent : nom, prénom, date de naissance, adresse géographique (personnelles) et appartenance syndicale, sanctions, dossier médical (sensibles).

💡 Astuce mémo

RH = dès le recrutement ; destruction = 5 ans après départ ; données perso + données sensibles (syndicat, sanctions, médical).

📖 9. Outils d’information des salariés

🔑 Notions clés & Définitions

  • Documents d’information : Les documents d’information regroupent les supports internes utilisés pour expliquer et diffuser les règles RGPD aux salariés.
  • DPO opérationnel : Le DPO opérationnel est présenté comme en charge des actions de formation et d’information pour mettre en œuvre le RGPD.
  • Groupe de travail : Le groupe de travail est une structure interne citée comme outil pour sensibiliser et informer les salariés.

📝 Points essentiels

  • Le cours indique que le DPO est en charge de l’opération de sensibilisation des salariés au RGPD.
  • La formation et l’information sont présentées comme deux leviers clés dans la mise en place du RGPD.
  • Les outils cités incluent notes, mails, livrets explicatifs, réunions, formations, groupes de travail et règlement intérieur.

📅 Repères chronologiques

DateÉvénement
25 mai 2018Entrée en vigueur du RGPD
6 janvier 1978Création de la CNIL par la loi Informatique et Libertés
6 août 2004Réforme de la loi Informatique et Libertés avec renforcement du contrôle et de la sanction
2013Estimation utilisée pour le marché européen du Cloud Computing
2020Année de projection du marché européen du Cloud Computing dans l’estimation citée

⚠️ Pièges & confusions fréquents

  1. Confondre une donnée personnelle (qui identifie une personne) avec une donnée sensible (qui est particulièrement à risques).
  2. Croire que le consentement peut être obtenu « par défaut » plutôt qu’avant la collecte et sous forme explicite.
  3. Oublier la charge de la preuve : le responsable de traitement doit pouvoir démontrer l’existence du consentement.
  4. Penser que la CNIL exige une déclaration préalable des données dans l’entreprise, alors que le cours indique que l’obligation préalable n’existe plus.
  5. Réduire la mise en conformité au seul aspect juridique : le DPO doit travailler avec informatique/SI et direction pour couvrir la conformité.
  6. Laisser les salariés hors du dispositif : le cours insiste sur leur rôle d’acteurs et sur le droit d’accès à leurs données.

✅ Checklist Examen

  1. Donner la différence entre donnée personnelle et donnée sensible et donner au moins un exemple pour chaque catégorie.
  2. Définir la donnée comme élément le plus petit de l’information qui prend sens dans un contexte.
  3. Citer le rôle général de la CNIL et situer la création de la CNIL en 1978.
  4. Rappeler les objectifs du RGPD : renforcer les droits, responsabiliser, crédibiliser via la traçabilité.
  5. Expliquer comment doit être obtenu le consentement (volontaire, explicite, écrit, avant collecte, pas par défaut).
  6. Indiquer sur quel acteur repose la charge de la preuve du consentement.
  7. Donner les deux plafonds chiffrés des sanctions administratives mentionnés pour les manquements et pour certaines violations (10/20 millions et 2 %/4 %).
  8. Lister les étapes clés de mise en conformité citées : DPO, moyens, cartographie, registre, minimisation/pertinence, PIA si nécessaire, gestion des droits.
  9. Expliquer pourquoi et comment l’entreprise sensibilise les salariés au RGPD, et citer au moins deux outils cités (ex. réunions, formations, livrets).
  10. En contexte RH, rappeler le délai de destruction (5 ans après départ) et citer au moins trois types de données RH (perso et/ou sensibles).
  11. Rattacher les données RH sensibles à des catégories listées (appartenance syndicale, sanctions, dossier médical, données de santé).

Teste tes connaissances

Teste tes connaissances sur Introduction à la protection des données personnelles avec 18 questions à choix multiples et corrections détaillées.

1. Quelle évolution historique explique le mieux l’émergence du RGPD ?

2. À quelle date le RGPD entre-t-il en vigueur dans l’Union européenne ?

Faire le QCM →

Révisez avec les flashcards

Mémorisez les concepts clés de Introduction à la protection des données personnelles avec 18 flashcards interactives.

Contexte du RGPD — date clé ?

Entrée en vigueur le 25 mai 2018.

Données personnelles — définition ?

Informations permettant d’identifier une personne.

Données sensibles — exemple ?

Données de santé, origine raciale, opinions politiques.

Voir les flashcards →

Cours similaires

Crée tes propres fiches de révision

Importe ton cours et l'IA génère fiches, QCM et flashcards en 30 secondes.

Générateur de fiches