Fiche de révision : Introduction au RGPD

📋 Plan du Cours

1. Introduction au RGPD
2. Principes clés du RGPD
3. Données personnelles concernées
4. Droits des individus
5. Obligations des entreprises

📖 1. Introduction au RGPD

🔑 Notions clés & Définitions

RGPD (Règlement Général sur la Protection des Données)
AUTEUR (date) : règlement européen entré en vigueur en mai 2018, visant à protéger les données personnelles des citoyens de l'UE.

Autorité de contrôle
AUTEUR (date) : organisme chargé de veiller au respect du RGPD. En France, c’est la CNIL.

Champ d'application
AUTEUR (date) : concerne toutes les organisations qui traitent des données personnelles de résidents européens, indépendamment de leur localisation.

Responsable de traitement
AUTEUR (date) : personne ou organisation qui détermine les finalités et moyens du traitement des données personnelles.

📝 Points essentiels

Le RGPD est un règlement européen entré en vigueur en mai 2018 visant à protéger les données personnelles des citoyens de l'UE.
Il s'applique à toutes les organisations traitant des données personnelles de résidents européens, quel que soit leur lieu d'implantation.
L'Autorité de contrôle en France est la CNIL, chargée de veiller au respect du RGPD.

💡 À retenir

Le RGPD encadre le traitement des données personnelles dans l’Union européenne, avec une portée territoriale large, et est surveillé par des autorités de contrôle comme la CNIL en France.

📖 2. Principes clés du RGPD

🔑 Notions clés & Définitions

• Licéité, loyauté et transparence : La collecte et le traitement des données doivent être effectués de manière légale, équitable et claire pour les personnes concernées. Les individus doivent être informés de la manière dont leurs données sont utilisées.
• Minimisation des données : Seules les données strictement nécessaires à la réalisation de la finalité poursuivie doivent être collectées.
• Exactitude des données : Les données doivent être correctes et maintenues à jour pour éviter toute erreur ou incohérence.
• Limitation de la conservation : Les données ne doivent pas être conservées plus longtemps que nécessaire pour atteindre la finalité pour laquelle elles ont été collectées.
• Intégrité et confidentialité : Les données doivent être protégées contre tout accès non autorisé, divulgation ou altération, garantissant leur sécurité.

📝 Points essentiels

• Les données doivent être collectées de manière licite, loyale et transparente vis-à-vis des personnes concernées.
• Seules les données nécessaires à la finalité doivent être collectées, conformément au principe de minimisation.
• Les données doivent être exactes et régulièrement mises à jour pour assurer leur fiabilité.
• Les données ne doivent pas être conservées plus longtemps que nécessaire, respectant la limitation de conservation.
• Les données doivent être protégées contre tout accès non autorisé ou divulgation, assurant leur intégrité et confidentialité.

💡 À retenir

Les règles fondamentales du RGPD garantissent un traitement responsable et sécurisé des données personnelles, en insistant sur la licéité, la minimisation, la précision, la limitation de conservation, ainsi que la sécurité des données.

📖 3. Données personnelles concernées

🔑 Notions clés & Définitions

Données personnelles
Toute information permettant d’identifier directement ou indirectement une personne. Cela inclut, par exemple, le nom, l’adresse, le numéro de téléphone, ou toute donnée pouvant conduire à l’identification d’une personne.

Données sensibles
Informations regroupant des données sur la santé, les opinions politiques, la religion, l’appartenance syndicale, ou l’orientation sexuelle. Ces données nécessitent une protection renforcée en raison de leur nature particulière.

Données pseudonymisées
Données transformées pour limiter l’identification directe d’une personne. La pseudonymisation consiste à remplacer ou supprimer les éléments permettant une identification immédiate, afin de réduire les risques pour la vie privée.

Données biométriques
Données physiques ou comportementales utilisées pour identifier une personne, telles que l’empreinte digitale, la reconnaissance faciale ou vocale. Ces données sont spécifiques à chaque individu et servent à son identification.

📝 Points essentiels

Les données personnelles incluent toute information permettant d’identifier directement ou indirectement une personne. Les données sensibles regroupent des informations sur la santé, les opinions politiques, la religion, etc., nécessitant une protection renforcée. La pseudonymisation consiste à transformer les données pour limiter l’identification directe, en remplaçant ou en supprimant certains éléments. Les données biométriques sont des données physiques ou comportementales utilisées pour identifier une personne, comme l’empreinte digitale ou la reconnaissance faciale.

💡 À retenir

Les données personnelles regroupent toute information permettant d’identifier une personne, avec une protection particulière pour les données sensibles, biométriques et pseudonymisées, afin de mieux préserver la confidentialité et la vie privée.

📖 4. Droits des individus

🔑 Notions clés & Définitions

• Droit d'accès
  Les individus peuvent demander l'accès à leurs données personnelles détenues par une organisation. Cela leur permet de connaître quelles données sont collectées, traitées et conservées.

• Droit de rectification
  Les personnes ont le droit de faire rectifier des données inexactes ou incomplètes. Elles peuvent demander la correction de leurs informations si celles-ci sont erronées ou obsolètes.

• Droit à l'effacement (droit à l'oubli)
  Ce droit permet de demander la suppression des données dans certains cas, notamment lorsque les données ne sont plus nécessaires ou si le traitement est illicite.

• Droit à la portabilité
  Les individus peuvent récupérer leurs données dans un format structuré, couramment utilisé, et réutilisable, afin de les transférer à un autre organisme ou service.

• Droit d'opposition
  Les personnes peuvent s'opposer au traitement de leurs données pour des motifs légitimes, notamment lorsqu'elles contestent l'usage de leurs données à des fins de marketing ou pour d'autres raisons personnelles.

📝 Points essentiels

Les individus disposent de plusieurs pouvoirs pour contrôler leurs données personnelles. Ils peuvent demander l’accès à leurs données détenues par une organisation, ce qui leur permet de connaître l’étendue du traitement. En cas de données inexactes ou incomplètes, ils ont le droit de demander leur rectification. Le droit à l’effacement leur donne la possibilité de faire supprimer leurs données dans certains cas précis, notamment si celles-ci ne sont plus nécessaires ou si le traitement est illicite. La portabilité leur permet de récupérer leurs données dans un format structuré et réutilisable, facilitant leur transfert vers un autre service ou organisation. Enfin, ils peuvent s’opposer au traitement de leurs données pour des motifs légitimes, notamment pour des raisons personnelles ou pour des traitements à des fins de marketing.

💡 À retenir

Les droits des individus leur donnent un pouvoir essentiel pour contrôler leurs données personnelles, leur permettant d’accéder, de corriger, de supprimer, de transférer ou de s’opposer au traitement de leurs informations selon leur volonté.

📖 5. Obligations des entreprises

🔑 Notions clés & Définitions

Consentement explicite
Aucune définition spécifique fournie dans la source. Cependant, selon le contexte, il s'agit d'une autorisation claire et précise donnée par la personne concernée avant la collecte de ses données, sans ambiguïté.

Registre des activités de traitement
Aucune définition spécifique fournie dans la source. Il s'agit d'un document que les entreprises doivent tenir, détaillant tous les traitements de données qu'elles effectuent.

Délégué à la protection des données (DPO)
Aucune définition spécifique fournie dans la source. La nomination d'un DPO est obligatoire pour certaines organisations afin de superviser la conformité au RGPD.

Notification des violations de données
Aucune définition spécifique fournie dans la source. En cas de violation, l'entreprise doit notifier la CNIL dans un délai de 72 heures.

Analyse d'impact sur la protection des données (AIPD)
Aucune définition spécifique fournie dans la source. C'est une évaluation des risques liés aux traitements susceptibles d'engendrer un risque élevé pour les droits des personnes.

📝 Points essentiels

Les entreprises doivent obtenir un consentement clair et explicite avant de collecter des données. Elles ont aussi l'obligation de tenir un registre documentant tous les traitements de données effectués, afin de prouver leur conformité. La nomination d'un DPO est obligatoire pour certaines organisations, ce professionnel supervisant la conformité à la réglementation. En cas de violation de données, l'entreprise doit notifier la CNIL dans un délai strict de 72 heures. Enfin, l'AIPD est une étape essentielle pour évaluer les risques liés aux traitements susceptibles d'affecter gravement les droits des personnes concernées.

💡 À retenir

Les entreprises ont des responsabilités concrètes pour garantir la conformité et la sécurité des données, notamment par l'obtention d'un consentement explicite, la tenue d'un registre, la nomination d'un DPO, la gestion rapide des violations, et la réalisation d'une AIPD si nécessaire.

📊 Tableaux de Synthèse

⚠️ Pièges & Confusions Fréquentes

1. Confondre données personnelles et données sensibles : toutes ne nécessitent pas le même niveau de protection.
2. Oublier que la minimisation impose de ne collecter que ce qui est strictement nécessaire.
3. Confusion entre droit d’accès et droit à l’effacement : ils ont des conditions et finalités différentes.
4. Négliger la portée territoriale du RGPD : s’applique même si l’organisation est hors UE mais traite des données de résidents européens.
5. Sous-estimer l’importance du principe de limitation de conservation : les données ne doivent pas être conservées indéfiniment.
6. Confondre pseudonymisation et anonymisation : la pseudonymisation permet encore une ré-identification possible.
7. Omettre la nécessité d’un registre des activités de traitement pour les entreprises.
8. Confondre le rôle de l’autorité de contrôle (CNIL en France) avec celui du responsable de traitement.

✅ Checklist Examen

1. Connaître la définition du RGPD et sa date d’entrée en vigueur.
2. Identifier l’autorité de contrôle en France (CNIL).
3. Expliquer le champ d’application du RGPD concernant la territorialité.
4. Définir un responsable de traitement selon le RGPD.
5. Citer et expliquer les principes clés : licéité, loyauté, transparence, minimisation, exactitude, limitation de conservation, sécurité.
6. Distinguer données personnelles, sensibles, pseudonymisées et biométriques.
7. Connaître les droits fondamentaux des individus : accès, rectification, effacement, portabilité, opposition.
8. Décrire les obligations principales des entreprises : consentement explicite, registre des activités, rôle du DPO.
9. Identifier les éléments qui doivent apparaître dans le registre des activités de traitement.
10. Comprendre la différence entre anonymisation et pseudonymisation.
11. Savoir que le RGPD s’applique indépendamment du lieu d’implantation de l’organisation si elle traite des données de résidents européens.
12. Maîtriser la notion de sécurité et confidentialité dans le traitement des données personnelles.