Fiche de révision : Introduction à la protection des données personnelles

📋 Plan du Cours

  1. Valeur des données à caractère personnel
  2. Risques et usurpation d’identité numérique
  3. CNIL : missions, contrôle et sanctions
  4. RGPD : objectifs et champ d’application
  5. Accountability et registre des traitements
  6. Privacy by default et privacy by design
  7. Notification des violations et recours
  8. Surveillance numérique des salariés et RGPD

📖 1. Valeur des données à caractère personnel

🔑 Notions clés & Définitions

  • Donnée à caractère personnel : Une donnée à caractère personnel est toute information concernant une personne physique susceptible d’être identifiée, directement ou indirectement.
  • Identification directe ou indirecte : L’identification directe ou indirecte correspond au fait qu’une personne peut être reconnue grâce à des éléments explicites ou à des recoupements.
  • Données d’identification : Les données d’identification sont des informations permettant d’identifier une personne, comme un nom, un numéro ou des traces numériques.
  • Données biométriques : Les données biométriques sont des éléments liés au corps d’une personne, comme la voix ou l’image, utilisés dans un traitement.
  • Atout concurrentiel : Un atout concurrentiel désigne la valeur stratégique des données pour mieux connaître les clients et adapter les offres.

📝 Points essentiels

  • Le RGPD vise toute information relative à une personne physique identifiable directement ou indirectement.
  • Une personne peut être identifiée par son nom, un numéro de client, sa localisation ou son adresse IP.
  • Des éléments spécifiques liés à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale rendent la donnée personnelle.
  • La voix (enregistrement téléphonique) et l’image (photos, vidéos) font partie des données permettant d’identifier une personne.
  • Les activités en ligne comme créer un compte, commander sur Internet ou utiliser une application génèrent des données personnelles.
  • Les entreprises exploitent ces données pour personnaliser les offres et améliorer leur stratégie commerciale.

💡 Astuce mémo

IP + localisation + voix/image = données personnelles (tout ce qui permet d’identifier).

📖 2. Risques et usurpation d’identité numérique

🔑 Notions clés & Définitions

  • Usurpation d’identité numérique : L’usurpation d’identité numérique consiste à se faire passer pour quelqu’un en utilisant des éléments permettant de l’identifier en ligne.
  • Identité numérique : L’identité numérique est l’ensemble des contenus et traces en ligne qui définissent un individu ou un organisme sur Internet.
  • Éléments d’authentification : Les éléments d’authentification sont des informations utilisées pour prouver une identité en ligne et qui peuvent être détournées.
  • Signes de reconnaissance : Les signes de reconnaissance sont des indices numériques qui permettent d’identifier une personne et peuvent servir à l’usurpation.
  • E-réputation : L’e-réputation est l’image construite à partir des contenus publiés en ligne à propos d’une personne ou d’une organisation.

📝 Points essentiels

  • La collecte et le traitement peuvent mener à des abus, notamment quand les internautes ne sont pas informés de l’usage des données.
  • Les entreprises peuvent aussi subir des vols de données par des acteurs malveillants.
  • L’usurpation d’identité numérique est présenté comme le risque majeur pour particuliers et entreprises.
  • L’usurpation peut provoquer des escroqueries et dégrader l’e-réputation de la victime.
  • L’identité numérique regroupe des éléments d’authentification, des données, des signes de reconnaissance et des traces numériques.
  • L’usurpation d’identité numérique est sanctionnée pénalement par des peines d’emprisonnement et des amendes, et peut ouvrir droit à des dommages et intérêts.

💡 Astuce mémo

Identité numérique = authentification + signes + traces ; l’usurpation = escroqueries + e-réputation touchée.

📖 3. CNIL : missions, contrôle et sanctions

🔑 Notions clés & Définitions

  • CNIL : La CNIL est une autorité administrative indépendante chargée de veiller au respect de la vie privée et des libertés dans le monde numérique.
  • AAI : Une AAI est un organisme administratif agissant au nom de l’État sans relever de l’autorité du gouvernement.
  • Missions d’information et de conseil : Les missions d’information et de conseil regroupent l’accompagnement des citoyens, des professionnels et des autorités publiques sur la protection des données.
  • Contrôle du respect de la loi : Le contrôle du respect de la loi correspond aux vérifications menées par la CNIL auprès des professionnels et administrations.
  • Sanctions CNIL : Les sanctions CNIL sont les mesures prises en cas d’abus ou de pratiques irrégulières, allant de l’avertissement à l’amende.

📝 Points essentiels

  • La CNIL informe et conseille les citoyens, les professionnels et les autorités publiques.
  • La CNIL contrôle le respect de la loi par les professionnels et les administrations.
  • La CNIL peut sanctionner par avertissement et mise en demeure pour imposer des actions correctives.
  • La CNIL peut prononcer une sanction financière comprise entre 10 et 20 millions d’euros.
  • La CNIL peut aussi prononcer une sanction financière de 2 à 4 % du chiffre d’affaires annuel mondial.
  • Le rôle de contrôle de la CNIL a été renforcé par le RGPD.

💡 Astuce mémo

CNIL = Informer + Contrôler + Sanctionner (avertissement → mise en demeure → amende).

📖 4. RGPD : objectifs et champ d’application

🔑 Notions clés & Définitions

  • RGPD : Le RGPD est le règlement européen qui encadre le traitement et l’usage des données personnelles des personnes physiques.
  • Entrée en vigueur : L’entrée en vigueur correspond au moment où le RGPD commence à s’appliquer dans l’ordre juridique.
  • Responsabilisation : La responsabilisation impose aux organisations de garantir et prouver la conformité de leurs traitements de données.
  • Protection efficace : La protection efficace désigne l’objectif d’assurer un niveau concret de protection des données lors de leur traitement et circulation.
  • Données de résidents de l’Union européenne : Le RGPD s’applique aux traitements portant sur des données de résidents de l’Union européenne, même si l’organisation n’est pas établie dans l’UE.

📝 Points essentiels

  • Le RGPD est entré en vigueur le 25 mai 2018.
  • Le RGPD fixe la réglementation européenne sur la protection des données personnelles lors de leur traitement et circulation.
  • Le RGPD s’applique à toute organisation, établie dans l’Union européenne ou non, dès lors qu’elle collecte et traite des données de résidents de l’Union européenne.
  • Les objectifs principaux sont de renforcer les droits des personnes, responsabiliser les acteurs et assurer une protection efficace.
  • Le RGPD introduit une logique d’accountability : conformité permanente et capacité à expliquer données collectées et finalité.
  • Le RGPD vise la protection des personnes physiques dans le cadre des traitements de données.

💡 Astuce mémo

RGPD = droits + accountability + protection efficace ; applicable à l’UE via les résidents.

📖 5. Accountability et registre des traitements

🔑 Notions clés & Définitions

  • Accountability : L’accountability est la logique qui oblige les entreprises à garantir en continu la conformité et à pouvoir la démontrer.
  • Base légale : Une base légale est le fondement juridique qui autorise un traitement de données personnelles.
  • Registre des traitements : Le registre des traitements est un document tenu à jour pour recenser les traitements et démontrer la conformité.
  • DPO : Le DPO est le délégué à la protection des données chargé d’accompagner la conformité au RGPD.
  • Minimisation des données : La minimisation des données impose de limiter la collecte aux données nécessaires au traitement.

📝 Points essentiels

  • L’entreprise doit s’assurer en permanence de la conformité du traitement des données personnelles.
  • L’entreprise doit pouvoir savoir quelles données sont collectées et dans quel but, à tout moment.
  • La conformité doit être démontrée, notamment via la tenue d’un registre des traitements.
  • Un traitement doit reposer sur des bases légales comme le consentement ou l’intérêt légitime.
  • Le RGPD impose de respecter des droits des utilisateurs, dont rectification et opposition, ainsi que l’information.
  • Le RGPD prévoit des mesures de sécurité pour la conservation des données et la nomination d’un DPO.

💡 Astuce mémo

Accountability = prouver en continu ; registre = preuve écrite des traitements.

📖 6. Privacy by default et privacy by design

🔑 Notions clés & Définitions

  • Privacy by default : La privacy by default impose un niveau maximal de protection dès le départ, sans action spécifique de l’utilisateur.
  • Privacy by design : La privacy by design consiste à intégrer des mesures de protection de la vie privée dès la conception d’un produit ou service.
  • Mesures de protection : Les mesures de protection sont les dispositifs intégrés pour limiter les atteintes à la vie privée lors du traitement des données.
  • Conception d’un produit ou service : La conception d’un produit ou service correspond à la phase de création où l’on intègre les exigences de protection de la vie privée.
  • Protection dès le départ : La protection dès le départ signifie que les paramètres et choix initiaux doivent déjà garantir un haut niveau de confidentialité.

📝 Points essentiels

  • Le privacy by default vise le plus haut degré de protection dès le départ, sans réglage particulier de l’utilisateur.
  • Le privacy by design impose d’intégrer la protection de la vie privée dès la conception du produit ou du service.
  • Ces deux principes encadrent la manière de paramétrer et concevoir les traitements pour limiter les risques.
  • Le privacy by default s’applique au niveau des réglages initiaux du service.
  • Le privacy by design s’applique au niveau de l’architecture et des choix de conception.
  • Les principes s’inscrivent dans la logique de conformité et de protection efficace du RGPD.

💡 Astuce mémo

Default = réglage initial ; Design = conception dès le départ.

📖 7. Notification des violations et recours

🔑 Notions clés & Définitions

  • Violation de données : Une violation de données est un incident affectant la sécurité des données personnelles traitées.
  • Notification à la CNIL : La notification à la CNIL est l’obligation d’informer l’autorité en cas de violation présentant un risque pour la vie privée.
  • Risque élevé : Un risque élevé correspond à un niveau de gravité justifiant une information directe des personnes concernées.
  • Recours auprès de la CNIL : Un recours auprès de la CNIL est une démarche permettant de signaler un manquement aux règles du RGPD.
  • Action de groupe : Une action de groupe est une procédure collective permettant d’agir en cas de manquement et de préjudice.

📝 Points essentiels

  • En cas de violation, l’entreprise doit notifier l’incident à la CNIL s’il existe un risque pour la vie privée des personnes concernées.
  • Si le risque est élevé, les personnes concernées doivent être informées.
  • Le niveau de risque détermine donc s’il y a notification seule ou notification plus information des personnes.
  • En cas de manquement aux règles du RGPD, toute personne peut déposer une réclamation auprès de la CNIL.
  • En cas de manquement, toute personne peut aussi introduire une action de groupe.
  • Les obligations de notification et d’information s’inscrivent dans la protection effective des personnes.

💡 Astuce mémo

Risque faible → CNIL ; risque élevé → CNIL + personnes.

📖 8. Surveillance numérique des salariés et RGPD

🔑 Notions clés & Définitions

  • Surveillance numérique : La surveillance numérique regroupe les contrôles réalisés via des outils informatiques sur les locaux, le matériel ou l’activité des salariés.
  • Vidéo surveillance : La vidéosurveillance est un dispositif de contrôle par caméra utilisé dans le cadre de la surveillance des lieux ou activités.
  • Géolocalisation : La géolocalisation est une technique permettant de déterminer la position d’une personne ou d’un équipement.
  • Droit à la vie privée : Le droit à la vie privée impose que certains documents et messages soient protégés contre la consultation non autorisée.
  • Charte informatique : La charte informatique est un document interne qui encadre les droits et obligations des salariés dans l’usage des outils numériques.

📝 Points essentiels

  • L’employeur peut utiliser des outils numériques pour surveiller les locaux, le matériel et l’activité des salariés.
  • La vidéosurveillance et la géolocalisation sont des exemples d’outils de contrôle cités.
  • L’enjeu principal du contrôle est la sécurisation des données de l’entreprise et de l’accès au réseau.
  • L’employeur peut contrôler et limiter l’utilisation d’Internet et accéder aux dossiers et courriels professionnels sur un espace de stockage lié à un outil professionnel.
  • L’employeur doit informer les salariés et respecter leur droit à la vie privée.
  • Il ne peut pas consulter les documents et messages clairement signalés comme privés, et doit respecter le RGPD : données nécessaires, sécurité, et possibilité d’exercer les droits (information, copie, rectification, supp

💡 Astuce mémo

Privé signalé = interdit ; sinon, contrôle pro encadré par RGPD + charte.

📅 Repères chronologiques

DateÉvénement
25 mai 2018Entrée en vigueur du RGPD
10 à 20 millions d’eurosPlafond de sanction financière CNIL
2 à 4 % du chiffre d’affaires annuel mondialPlafond de sanction financière CNIL

📊 Tableaux de synthèse

Déclencheurs de notification et information

SituationObligation CNILInformation des personnes
Violation avec risqueNotification à la CNILNon précisée
Violation avec risque élevéNotification à la CNILOui

Privacy by default vs privacy by design

PrincipeMoment d’applicationIdée centrale
Privacy by defaultDès le départProtection maximale sans action utilisateur
Privacy by designDès la conceptionProtection intégrée dans le produit/service

⚠️ Pièges & confusions fréquents

  1. Confondre donnée personnelle et donnée anonyme : une donnée reste personnelle si la personne est identifiable directement ou indirectement.
  2. Croire que l’usurpation d’identité numérique se limite à un vol de données : le cours insiste aussi sur escroqueries et dégradation d’e-réputation.
  3. Penser que la CNIL ne fait que conseiller : elle contrôle et peut sanctionner avec avertissement, mise en demeure et amendes.
  4. Oublier l’extraterritorialité du RGPD : il s’applique aussi aux organisations hors UE si elles traitent des résidents de l’UE.
  5. Confondre privacy by default et privacy by design : le premier vise les réglages initiaux, le second l’intégration dès la conception.
  6. Croire que l’employeur peut lire tout ce qui est sur un outil pro : les messages clairement signalés comme privés ne peuvent pas être consultés.

✅ Checklist Examen

  1. Définir une donnée à caractère personnel et donner des exemples d’identification directe ou indirecte.
  2. Expliquer pourquoi la voix et l’image (photos/vidéos) entrent dans les données personnelles.
  3. Identifier les risques cités : abus d’information, vols de données, usurpation d’identité numérique et ses effets.
  4. Décrire l’identité numérique et citer les éléments qui la composent (authentification, signes, traces).
  5. Expliquer le rôle de la CNIL : informer/conseiller, contrôler, sanctionner, et connaître les fourchettes d’amendes.
  6. Donner les objectifs du RGPD et son champ d’application (résidents UE, organisation UE ou non).
  7. Rappeler la date d’entrée en vigueur du RGPD (25 mai 2018).
  8. Définir l’accountability et préciser ce que l’entreprise doit pouvoir démontrer à tout moment.
  9. Citer les éléments liés à l’accountability : bases légales, droits des utilisateurs, sécurité, DPO, registre des traitements.
  10. Définir privacy by default et privacy by design et distinguer leur moment d’application.
  11. Expliquer les obligations en cas de violation : notification à la CNIL selon le risque et information des personnes en cas de risque élevé.
  12. Lister les recours possibles en cas de manquement : réclamation auprès de la CNIL et action de groupe.
  13. Décrire ce que l’employeur peut surveiller (locaux, matériel, activité) et les exemples (vidéosurveillance, géolocalisation).
  14. Expliquer les limites : données nécessaires, sécurité, droits des salariés, et interdiction de consulter les documents/messages clairement privés.

Testez vos connaissances

Testez vos connaissances sur Introduction à la protection des données personnelles avec 8 questions à choix multiples avec corrections détaillées.

1. Qu’est-ce qu’une donnée à caractère personnel ?

2. Quel est le risque majeur mis en avant concernant l’identité numérique ?

Faire le QCM →

Révisez avec les flashcards

Mémorisez les concepts clés de Introduction à la protection des données personnelles avec 16 flashcards interactives.

Valeur des données personnelles — rôle ?

Permettent de mieux connaître et cibler les clients.

Usurpation d’identité numérique — définition ?

Se faire passer pour quelqu’un en ligne.

CNIL — missions principales ?

Informer, contrôler, sanctionner.

Voir les flashcards →

Cours similaires

Refus et protection des documents

Introduction aux Fondements du Droit

Introduction aux régimes constitutionnels

Organisation et fonctionnement de la justice pénale

Introduction à la procédure pénale

Introduction au droit de la construction

Crée tes propres fiches de révision

Importe ton cours et l'IA génère fiches, QCM et flashcards en 30 secondes.

Générateur de fiches