QCM : Introduction au droit des données personnelles — 12 questions

Questions et réponses du QCM

1. Quel changement a principalement justifié l’émergence du droit européen de la protection des données dans le contexte de la numérisation ?

L’essor des traitements informatisés et interconnectés touchant de nouveaux acteurs publics et privés
L’abandon complet des échanges de données entre organisations
La disparition progressive de toute utilisation de l’informatique dans les administrations
La réduction des capacités de stockage et de vitesse des systèmes informatiques

L’essor des traitements informatisés et interconnectés touchant de nouveaux acteurs publics et privés

Explication

Le droit des données personnelles s’est développé parce que l’informatique est sortie des laboratoires et est devenue largement utilisée par des acteurs économiques et publics. L’augmentation de la vitesse, du stockage et de l’interconnexion a rendu ces traitements beaucoup plus massifs.

2. Quel régime la loi Informatique et Libertés de 1978 prévoyait-elle, à l’origine, pour les traitements réalisés par des personnes morales de droit public ?

Une autorisation préalable de la CNIL
Une simple information des personnes concernées
Une homologation judiciaire systématique
Une liberté totale sans contrôle préalable

Une autorisation préalable de la CNIL

Explication

Le cours indique qu’en 1978, les personnes morales de droit public devaient obtenir une autorisation préalable de la CNIL. À l’inverse, les personnes morales de droit privé relevaient plutôt d’une déclaration préalable.

3. Quelle définition correspond le mieux à une donnée à caractère personnel ?

Toute statistique agrégée sans lien avec une personne
Toute information relative à une personne physique identifiée ou identifiable
Toute information relative à une entreprise immatriculée
Toute donnée rendue définitivement anonyme

Toute information relative à une personne physique identifiée ou identifiable

Explication

Une donnée à caractère personnel est une information relative à une personne physique identifiée ou identifiable, directement ou indirectement. Les données anonymisées ne relèvent plus de ce régime car la réidentification est irréversible.

4. Dans quel cas le traitement de données sensibles peut-il en principe être admis ?

Lorsque les données sont simplement utiles à l’entreprise
Lorsque la personne donne un consentement explicite ou qu’une exception légale s’applique
Lorsque les données sont conservées plus longtemps que les autres
Lorsque le traitement est réalisé sans aucune mesure de sécurité

Lorsque la personne donne un consentement explicite ou qu’une exception légale s’applique

Explication

Le traitement des données sensibles est en principe interdit, sauf consentement explicite ou exception prévue par les textes. Le cours cite notamment les besoins liés au droit social, aux intérêts vitaux ou à certaines activités associatives.

5. Quelle logique résume le mieux une démarche de PSSI ?

Menaces, impacts, criticité puis choix des mesures
Données, publicité, consentement puis archivage
Contrat, transfert, suppression puis sanction
Collecte, partage, profilage puis anonymisation

Menaces, impacts, criticité puis choix des mesures

Explication

Le PSSI part des menaces, les relie aux impacts possibles, évalue la criticité, puis conduit au choix des mesures. Cette démarche vise à améliorer la sécurité et à répondre aux obligations de moyen.

6. Que signifie le mécanisme de guichet unique dans le cadre du RGPD ?

L’entreprise traite principalement avec l’autorité de contrôle de son établissement principal
Les personnes concernées ne peuvent saisir aucune autorité
La CNIL perd toute compétence sur les traitements transfrontaliers
Chaque traitement doit être déclaré séparément à toutes les autorités européennes

L’entreprise traite principalement avec l’autorité de contrôle de son établissement principal

Explication

Le guichet unique permet à une entreprise de traiter principalement avec l’autorité de contrôle de son établissement principal. Cela simplifie la coordination lorsque plusieurs pays de l’Union sont concernés.

7. Que doit démontrer le principe d’accountability dans la gestion des données personnelles ?

Le fait que seul le consentement suffit à tout légitimer
La suppression immédiate de toutes les données après chaque utilisation
L’absence totale de toute documentation interne
La conformité des traitements, notamment sur les finalités, les acteurs, les flux, la durée et la sécurité

La conformité des traitements, notamment sur les finalités, les acteurs, les flux, la durée et la sécurité

Explication

L’accountability impose de pouvoir démontrer la conformité, en documentant notamment les finalités, les acteurs, les flux, la durée de conservation et la sécurité. Ce n’est donc pas seulement une logique de respect abstrait, mais de preuve organisée.

8. Quel élément doit figurer dans la documentation des traitements au titre du registre et de la conformité ?

Les préférences personnelles des administrateurs du système
Les acteurs internes et externes, les flux de données et les durées de conservation
Les numéros de page du dossier interne
Les opinions politiques des salariés sans lien avec le traitement

Les acteurs internes et externes, les flux de données et les durées de conservation

Explication

La documentation doit couvrir les objectifs du traitement, les acteurs, les flux avec origine et destination, ainsi que les durées de conservation. Elle sert précisément à rendre la conformité démontrable.

9. À partir de quel délai une violation de données doit-elle en principe être notifiée à l’autorité de contrôle lorsqu’un risque existe ?

Dans les 72 heures
Dans les 8 semaines
Dans les 30 jours
Uniquement à la clôture du dossier

Dans les 72 heures

Explication

En cas de violation présentant un risque, la notification à l’autorité de contrôle doit être faite dans les 72 heures. Si la violation ne présente aucun risque, elle est seulement inscrite dans le registre des violations.

10. Quelle mission appartient principalement au délégué à la protection des données ?

Décider seul des finalités de tous les traitements
Informer, conseiller et contrôler la conformité au sein de l’organisme
Remplacer automatiquement l’autorité de contrôle
Autoriser les traitements de santé sans aucune formalité

Informer, conseiller et contrôler la conformité au sein de l’organisme

Explication

Le DPO a pour missions d’informer et de conseiller, de contrôler la conformité, de superviser l’analyse d’impact et de coopérer avec l’autorité de contrôle. Il doit aussi disposer de moyens et d’une indépendance suffisants.

11. Quelle est la première étape de la chaîne répressive de la CNIL ?

La sanction immédiate sans contrôle préalable
La saisine obligatoire d’un juge pénal
L’effacement systématique des traitements contestés
Le signalement ou la transmission d’informations déclenchant une enquête

Le signalement ou la transmission d’informations déclenchant une enquête

Explication

La chaîne répressive commence par un signalement, par exemple via une plainte, une remontée de presse, une autosaisine ou une coopération avec une autre autorité. Vient ensuite le contrôle, puis éventuellement la mise en demeure et la sanction.

12. Comment sont qualifiées les données qui deviennent des données de santé parce qu’elles sont utilisées à des fins médicales ?

Des données sans régime particulier
Des données de santé par croisement
Des données anonymisées par nature
Des données de santé en raison de leur destination

Des données de santé en raison de leur destination

Explication

Le cours distingue les données de santé par nature, par destination et par croisement. Celles utilisées à des fins médicales sont qualifiées de données de santé en raison de leur destination.

Révisez avec les flashcards

Mémorisez les réponses avec 24 flashcards sur Introduction au droit des données personnelles.

Paquet numérique européen — définition ?

Ensemble de textes européens pour la numérisation.

Loi Informatique et Libertés — année ?

1978.

Données à caractère personnel — définition ?

Informations permettant d’identifier une personne.

Voir les flashcards →

Approfondir avec la fiche

Consultez la fiche de révision complète sur Introduction au droit des données personnelles.

Voir la fiche →

Cours similaires

Refus et protection des documents

Introduction aux Fondements du Droit

Introduction aux régimes constitutionnels

Organisation et fonctionnement de la justice pénale

Introduction à la procédure pénale

Introduction au droit de la construction

Crée tes propres QCM

Importe ton cours et l'IA génère des QCM avec corrections en 30 secondes.

Générateur de QCM