Fiche de révision : Protection des données personnelles et RGPD

📋 Plan du Cours

1. Historique de la protection des données
2. Projet SAFARI 1973
3. Loi Informatique et Libertés 1978
4. Directive européenne 95/46/CE
5. Réforme de 2004
6. Loi pour une République numérique 2016
7. Application du RGPD 2018
8. Données à caractère personnel
9. Traitement de données personnelles
10. Organismes concernés par le RGPD
11. Champ d’application territorial
12. Responsable de traitement et sous-traitant

📖 1. Historique de la protection des données

🔑 Notions clés & Définitions

• Projet SAFARI (1973)
  Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus, visant à interconnecter les fichiers administratifs pour centraliser et recouper les données personnelles, tout en soulevant des risques liberticides.
  Point essentiel : Premier projet d’interconnexion massif des données, à l’origine des préoccupations sur la vie privée.

• Loi Informatique et Libertés (1978)
  Loi française établissant que l’informatique doit respecter la vie privée et les droits de l’homme, créant la CNIL pour contrôler la conformité des traitements.
  Point essentiel : Première législation spécifique pour la protection des données personnelles en France.

• Directive européenne 95/46/CE (1995)
  Cadre commun européen pour la protection des données, imposant aux États membres d’adopter une législation nationale et de créer une autorité indépendante.
  Point essentiel : Harmonisation des règles de protection à l’échelle de l’UE.

• RGPD (2016-2018)
  Règlement général sur la protection des données, renforçant les droits des individus, responsabilisant les acteurs et uniformisant la réglementation dans l’UE, appliqué depuis mai 2018.
  Point essentiel : Renforcement des contrôles et sanctions pour garantir la confiance dans le traitement des données.

• Risques et enjeux (depuis 2000)
  Croissance exponentielle des données, profilage, cyberattaques, révélations Snowden, soulignant la nécessité d’une protection renforcée face aux risques pour libertés publiques et vie privée.
  Point essentiel : La société numérique amplifie les enjeux de sécurité et de respect des libertés.

📝 Points essentiels

• La protection des données a évolué en réponse aux avancées technologiques et aux risques pour la vie privée, passant d’un projet pilote à une réglementation européenne rigoureuse.
• La CNIL, créée en 1978, est la première autorité indépendante en France pour contrôler la conformité des traitements.
• La directive de 1995 a instauré un cadre commun pour l’ensemble des États membres, renforcé par le RGPD en 2018, qui s’applique à toute organisation traitant des données de citoyens européens.
• La croissance des données, notamment via Internet, objets connectés et profilage, a accru les risques de réidentification et de violation des libertés publiques.

💡 À retenir

L’histoire de la protection des données montre une évolution constante vers un cadre réglementaire plus strict, visant à préserver la vie privée face à l’expansion des technologies numériques et aux risques qu’elles engendrent.

📖 2. Projet SAFARI 1973

🔑 Notions clés & Définitions

SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus)
Définition : Projet gouvernemental lancé en 1973 visant à interconnecter les fichiers administratifs pour recenser, recouper et centraliser les données des citoyens via leur numéro de sécurité sociale.
Point essentiel : Objectif de faciliter la circulation des informations tout en soulevant des enjeux de libertés et de protection des données.

Protection des données personnelles
Définition : Ensemble des mesures visant à garantir la confidentialité, l’intégrité et la sécurité des données concernant une personne physique, en évitant leur utilisation abusive ou liberticide.
Point essentiel : La protection s’est renforcée avec l’évolution législative, notamment via la loi de 1978 et le RGPD.

CNIL (Commission Nationale de l’Informatique et des Libertés)
Définition : Autorité administrative indépendante créée en 1978 pour veiller à la conformité des traitements de données personnelles en France.
Point essentiel : Elle contrôle, conseille, sanctionne et protège les droits des citoyens en matière de données.

RGPD (Règlement Général sur la Protection des Données)
Définition : Règlement européen entré en vigueur en 2018, encadrant la collecte, le traitement et la conservation des données personnelles dans l’UE.
Point essentiel : Renforce les droits des individus, responsabilise les acteurs et prévoit des sanctions en cas de non-respect.

Réidentification et risques
Définition : Processus par lequel des données anonymisées ou dépersonnalisées sont croisées ou exploitées pour retrouver l’identité d’une personne.
Point essentiel : La multiplication des données et techniques informatiques augmente la vulnérabilité à la réidentification.

📝 Points essentiels

• Le projet SAFARI de 1973 visait à centraliser et interconnecter les fichiers administratifs, mais a été abandonné suite à l’indignation publique liée aux risques liberticides.
• La loi de 1978 a instauré la CNIL, première autorité indépendante de contrôle en France, pour protéger les données personnelles.
• La directive européenne de 1995 et le RGPD de 2018 ont étendu la protection à l’échelle européenne, imposant des obligations aux responsables de traitement.
• La croissance exponentielle des données depuis 1973, notamment via Internet, réseaux sociaux et objets connectés, pose des enjeux majeurs de sécurité et de libertés.
• La réidentification à partir de données dépersonnalisées devient de plus en plus facile, renforçant la nécessité de mesures de protection.

💡 À retenir

Le projet SAFARI a marqué le début d’une réflexion sur la gestion des données personnelles, dont la protection s’est considérablement renforcée avec le RGPD face à la croissance des risques liés à la collecte et au traitement des informations.

📖 3. Loi Informatique et Libertés 1978

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple par un nom, un numéro d’identification, une localisation, ou un identifiant en ligne.
  Exemple : nom, prénom, adresse email, photo.

• Traitement de données personnelles : Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés sur des données personnelles, telles que la collecte, l’enregistrement, la conservation, la transmission, la modification ou la suppression.
  Exemple : saisir des coordonnées dans un logiciel, envoyer une newsletter.

• CNIL (Commission Nationale de l’Informatique et des Libertés) : Autorité administrative indépendante chargée de veiller à la protection des données personnelles, d’informer, de contrôler et de sanctionner les traitements illicites.
  Point à retenir : elle garantit la conformité des traitements avec la loi.

• Responsable de traitement : Organisme ou personne qui détermine les finalités et les moyens du traitement des données personnelles. Il est responsable de la conformité du traitement avec la loi.
  Exemple : une entreprise qui collecte des données clients.

• Sous-traitant : Organisme ou personne qui traite des données pour le compte du responsable de traitement, selon ses instructions.
  Exemple : un hébergeur de données ou une société de mailing.

• Consentement : Accord libre, spécifique, éclairé et univoque donné par la personne concernée pour le traitement de ses données personnelles.
  Point à retenir : il doit être recueilli avant tout traitement.

📝 Points essentiels

• La loi de 1978 établit que l’informatique doit servir le citoyen sans porter atteinte à ses droits fondamentaux, notamment la vie privée et la liberté individuelle.
• La CNIL est la première autorité indépendante en France pour la protection des données, chargée de veiller au respect de la loi.
• La loi distingue clairement le responsable de traitement (qui décide du traitement) et le sous-traitant (qui exécute le traitement pour le compte du responsable).
• La loi s’applique à tout traitement de données personnelles, qu’il soit effectué par des organismes publics ou privés, en France ou à l’étranger si le traitement concerne des personnes en France.
• La protection des données s’étend également aux fichiers papier, pas seulement aux fichiers numériques.
• La loi impose le respect du droit à l’information, au droit d’accès, de rectification, d’effacement, et au droit à la portabilité pour les personnes concernées.
• La loi prévoit des sanctions en cas de non-respect, notamment des amendes administratives.

💡 À retenir

La Loi Informatique et Libertés de 1978 encadre la collecte, le traitement et la conservation des données personnelles pour protéger la vie privée et garantir les libertés individuelles, en confiant à la CNIL un rôle de contrôle et de sanction.

📖 4. Directive européenne 95/46/CE

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par des éléments tels que nom, numéro d’identification, localisation, identifiant en ligne, ou caractéristiques propres (physiques, psychiques, économiques, etc.).

• Traitement de données à caractère personnel : Toute opération ou ensemble d’opérations effectuées sur des données personnelles, telles que la collecte, l’enregistrement, la structuration, la conservation, la transmission, la modification, l’extraction, la communication ou la mise à disposition.

• Responsable de traitement : L’organisme qui détermine les finalités (objectifs) et les moyens du traitement des données personnelles. Il porte la responsabilité du respect de la législation en matière de protection des données.

• Sous-traitant : L’organisme qui traite des données pour le compte d’un responsable de traitement, selon ses instructions, souvent dans le cadre d’une mission spécifique ou globale.

• Autorité de contrôle indépendante : Organisation chargée de veiller au respect de la législation sur la protection des données, d’émettre des avis, de contrôler, et de sanctionner en cas de non-conformité (ex : CNIL en France).

• Champ d’application territorial : La directive s’applique aux traitements effectués par des organismes établis dans l’UE ou ciblant des personnes situées dans l’UE, indépendamment du lieu du traitement.

📝 Points essentiels

• La directive 95/46/CE établit un socle commun pour la protection des données personnelles dans l’UE, obligeant chaque État membre à adopter une législation nationale équivalente et à désigner une autorité indépendante.

• Elle définit le cadre pour la collecte, le traitement, la conservation et la circulation des données personnelles, en insistant sur la nécessité du consentement, la transparence, et la sécurité des traitements.

• La directive a posé les bases pour la législation nationale, notamment la loi française de 1978, qui a été modifiée pour se conformer à ses principes.

• Elle a permis la création d’autorités de contrôle nationales (ex : CNIL en France) chargées de contrôler la conformité des traitements.

• La directive a été remplacée par le Règlement général sur la protection des données (RGPD) en 2018, qui renforce et uniformise ces principes à l’échelle européenne.

💡 À retenir

La directive 95/46/CE a instauré un cadre européen commun pour la protection des données personnelles, en responsabilisant les acteurs et en garantissant aux citoyens un droit accru sur leurs informations, principe renforcé par le RGPD.

📖 5. Réforme de 2004

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple par un nom, un numéro d’identification, une localisation ou un identifiant en ligne.
  Point essentiel : La notion inclut aussi bien des données nominatives que des données croisées permettant d’identifier une personne.

• Traitement de données personnelles : Toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, l’enregistrement, la conservation, la transmission, la modification ou la suppression.
  Point essentiel : Le traitement peut être automatisé ou non, et concerne tout usage des données.

• CNIL (Commission Nationale de l’Informatique et des Libertés) : Autorité administrative indépendante chargée de veiller à la protection des données personnelles en France, notamment en contrôlant, sanctionnant et informant.
  Point essentiel : La CNIL est la première autorité indépendante créée en France pour la protection des données.

• Données à caractère personnel (après la réforme de 2004) : Désigne désormais toutes les données, qu’elles soient nominatives ou non, y compris celles conservées sous forme papier, et soumises à un régime d’autorisation préalable dans le secteur privé.
  Point essentiel : La protection s’étend aux fichiers papier, pas seulement aux fichiers numériques.

• Responsabilité du traitement : Obligation pour l’organisme qui détermine les finalités et les moyens du traitement de respecter la législation, notamment en garantissant la sécurité et la confidentialité des données.
  Point essentiel : La réforme de 2004 renforce la responsabilisation des acteurs traitant des données.

• Données à caractère personnel (définition juridique) : Toute information se rapportant à une personne physique identifiée ou identifiable, notamment par référence à un nom, un numéro d’identification, une localisation ou un identifiant en ligne.
  Point essentiel : La notion est large et couvre tous les supports, y compris papier, vidéo, audio.

📝 Points essentiels

• La loi de 2004 a modernisé la protection des données en intégrant les avancées technologiques et en transposant la directive européenne de 1995.
• La notion de données personnelles a été élargie, incluant désormais toutes formes de fichiers, y compris papier.
• La CNIL voit ses pouvoirs renforcés, notamment en matière de sanctions.
• La responsabilité des organismes est accrue, avec la création du poste de Correspondant Informatique et Libertés (CIL).
• La législation vise à renforcer la confiance des citoyens dans l’utilisation de leurs données, tout en encadrant strictement leur traitement.

💡 À retenir

La réforme de 2004 a permis d’adapter la législation française aux enjeux numériques en élargissant la définition des données personnelles et en renforçant la responsabilité des acteurs, afin de mieux protéger la vie privée dans un contexte de digitalisation croissante.

📖 6. Loi pour une République numérique 2016

🔑 Notions clés & Définitions

• Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple par un nom, un numéro d’identification, une localisation ou un identifiant en ligne.
  Exemple : nom, adresse email, numéro de sécurité sociale.

• Traitement de données : Toute opération ou ensemble d’opérations effectuées sur des données personnelles, telles que la collecte, l’enregistrement, la conservation, la modification, la transmission ou la suppression.
  Exemple : enregistrer un nouveau client dans une base de données.

• Responsable de traitement : L’organisme qui détermine les finalités et les moyens du traitement des données personnelles. Il doit assurer la conformité au RGPD et informer les personnes concernées.
  Exemple : une entreprise qui collecte des données clients pour la gestion commerciale.

• Sous-traitant : Organisme qui traite des données personnelles pour le compte du responsable de traitement, selon ses instructions, souvent dans le cadre de services externalisés (hébergement, maintenance).
  Exemple : une société d’hébergement de données.

• Droit à la protection des données : Ensemble des droits conférés aux individus pour contrôler l’usage de leurs données personnelles, notamment le droit d’accès, de rectification, d’effacement, de portabilité et d’opposition.
  Exemple : demander la suppression de ses données personnelles.

• RGPD (Règlement Général sur la Protection des Données) : Règlement européen entré en vigueur en 2018, visant à renforcer la protection des données personnelles, responsabiliser les acteurs et harmoniser la législation dans l’UE.
  Point à retenir : Il impose des obligations strictes aux organismes traitant des données dans l’UE ou ciblant des personnes dans l’UE.

📝 Points essentiels

• La loi pour une République numérique de 2016 enrichit et complète le cadre juridique du RGPD en France, en renforçant les droits des personnes et en précisant les responsabilités des acteurs.
• La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité indépendante chargée de veiller à la conformité et à la protection des données personnelles.
• Le RGPD s’applique à toute organisation, publique ou privée, traitant des données de personnes situées dans l’UE, que l’organisme soit établi dans l’UE ou non, dès lors qu’il cible ces personnes.
• La responsabilité du traitement incombe au responsable de traitement, qui doit respecter les principes de licéité, de transparence, de minimisation, de sécurité et de respect des droits des personnes.
• La loi prévoit des sanctions en cas de non-respect, pouvant aller jusqu’à des amendes importantes.
• La protection des données concerne aussi bien les données numériques que papier, et s’étend aux traitements automatisés et non automatisés.
• La loi insiste sur la nécessité de la responsabilisation (privacy by design et privacy by default) dès la conception des traitements.

💡 À retenir

La loi pour une République numérique de 2016, en intégrant le RGPD, vise à renforcer la protection des données personnelles en responsabilisant les acteurs et en garantissant aux individus un contrôle accru sur leurs informations, dans un contexte numérique en constante évolution.

📖 7. Application du RGPD 2018

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple par un nom, un numéro d’identification, une localisation, ou un identifiant en ligne.
  Exemple : nom, email, photo.
  Point à retenir : Toute donnée permettant d’identifier une personne est une donnée personnelle.

• Traitement de données personnelles : Toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, l’enregistrement, la conservation, la modification, la transmission ou la suppression.
  Exemple : saisir un contact dans un CRM.
  Point à retenir : Le traitement inclut toute manipulation, automatisée ou non, des données personnelles.

• Responsable de traitement : L’organisme qui détermine les finalités et les moyens du traitement des données personnelles. Il est responsable de garantir la conformité au RGPD.
  Exemple : une entreprise qui collecte des emails pour une newsletter.
  Point à retenir : C’est lui qui doit assurer la protection et l’information des personnes concernées.

• Sous-traitant : L’organisme qui traite des données pour le compte du responsable de traitement, selon ses instructions. Il doit respecter ses obligations contractuelles et légales.
  Exemple : un hébergeur de données.
  Point à retenir : Le sous-traitant agit sous la responsabilité du responsable de traitement.

• Champ d’application territorial : Le RGPD s’applique aux traitements réalisés par des organismes établis dans l’UE ou ciblant des personnes situées dans l’UE, indépendamment du lieu du traitement.
  Exemple : une entreprise américaine ciblant des clients européens.
  Point à retenir : La territorialité du RGPD couvre aussi bien l’établissement que le ciblage.

📝 Points essentiels

• Le RGPD s’applique à toute organisation, publique ou privée, traitant des données personnelles de personnes dans l’UE, quelle que soit leur taille ou leur secteur.
• La définition large du traitement inclut toute opération sur des données, même manuelle.
• La responsabilité du respect du RGPD incombe au responsable de traitement, qui doit garantir la légalité, la transparence et la sécurité des données.
• La distinction entre responsable de traitement et sous-traitant est fondamentale pour répartir les responsabilités.
• L’exception domestique permet aux particuliers d’utiliser des données personnelles à titre privé sans application du RGPD, sauf si l’organisme fournit une solution ou un service.

💡 À retenir

Le RGPD encadre strictement tout traitement de données personnelles effectué par des organismes publics ou privés établis dans l’UE ou ciblant ses citoyens, en responsabilisant chaque acteur pour garantir la protection des droits et libertés des individus.

📖 8. Données à caractère personnel

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple par un nom, un numéro d’identification, une localisation ou un identifiant en ligne.
  Exemple : nom, prénom, adresse email, photo.

• Traitement de données personnelles : Toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, l’enregistrement, la conservation, la transmission, la modification ou la suppression.
  Exemple : saisir un contact dans un logiciel, envoyer une newsletter.

• Responsable de traitement : L’organisme qui détermine les finalités et les moyens du traitement des données personnelles. Il est responsable du respect du RGPD et doit informer les personnes concernées.
  Exemple : une entreprise qui collecte des données clients.

• Sous-traitant : L’organisme qui traite des données pour le compte du responsable de traitement, selon ses instructions. Il doit respecter des obligations contractuelles et légales.
  Exemple : un hébergeur de données ou une société de cybersécurité.

• Données directement identifiées : Données permettant d’identifier clairement une personne, comme le nom ou la photo.
  Exemple : fiche de paie avec nom et prénom.

• Données indirectement identifiées : Données ne permettant pas d’identifier immédiatement une personne seules, mais pouvant le faire lorsqu’elles sont croisées avec d’autres données.
  Exemple : numéro de téléphone ou identifiant interne.

📝 Points essentiels

• La définition de données personnelles inclut toute information permettant d’identifier une personne, même indirectement.
• La réidentification est facilitée par la multiplication et la précision des données disponibles, augmentant ainsi le risque pour la vie privée.
• Le traitement couvre toute opération sur ces données, qu’elle soit automatisée ou manuelle.
• Le RGPD s’applique à toute organisation, publique ou privée, établie dans l’UE ou ciblant des personnes dans l’UE.
• La responsabilité du traitement revient au responsable, mais le sous-traitant doit respecter ses obligations contractuelles.
• L’exception domestique concerne les usages personnels sans lien professionnel, mais le fournisseur de la solution reste soumis au RGPD.

💡 À retenir

Le RGPD encadre toute opération sur des données permettant d’identifier une personne, en responsabilisant les acteurs et en renforçant la protection des droits individuels face à la multiplication des traitements numériques.

📖 9. Traitement de données personnelles

🔑 Notions clés & Définitions

• Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par exemple nom, numéro d’identification, localisation, identifiant en ligne, ou éléments propres à son identité (physique, génétique, etc.).

• Traitement de données personnelles : Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés sur des données à caractère personnel, telles que la collecte, l’enregistrement, la structuration, la conservation, la transmission, la modification, ou la communication.

• Responsable de traitement : Organisme qui détermine les finalités et les moyens du traitement des données personnelles. Il est responsable du respect du RGPD et doit informer les personnes concernées.

• Sous-traitant : Organisme qui traite des données personnelles pour le compte et sur instruction du responsable de traitement, souvent dans le cadre d’une mission spécifique (ex : hébergement, maintenance).

• Champ d’application territorial : Le RGPD s’applique à tout organisme établi dans l’UE ou ciblant des personnes situées dans l’UE, indépendamment de leur localisation.

📝 Points essentiels

• Le RGPD encadre strictement la collecte, le traitement et la conservation des données personnelles pour protéger la vie privée et les libertés individuelles.
• Toute opération sur des données personnelles constitue un traitement, même manuelle ou non automatisée.
• La responsabilité du respect du RGPD incombe au responsable de traitement, qui doit assurer la conformité et la transparence.
• La distinction entre responsable de traitement et sous-traitant détermine les responsabilités et obligations juridiques.
• L’exception domestique permet aux particuliers d’utiliser leurs données à titre privé sans que le RGPD ne s’applique, sauf si l’organisme fournit des outils ou services.

💡 À retenir

Le traitement de données personnelles est toute opération sur des informations relatives à une personne physique, encadrée par le RGPD, qui impose aux responsables de traitement des obligations strictes pour garantir la protection des droits et libertés des individus.

📖 10. Organismes concernés par le RGPD

🔑 Notions clés & Définitions

• Responsable de traitement (RT) : Organisme qui détermine les finalités et les moyens du traitement des données personnelles. Il porte la responsabilité du respect du RGPD.
  Exemple : une entreprise qui collecte des emails pour une campagne marketing.

• Sous-traitant (ST) : Organisme qui traite des données personnelles pour le compte et sur instruction du responsable de traitement. Il doit respecter des obligations contractuelles.
  Exemple : un hébergeur de données ou une société de cybersécurité.

• Organismes concernés : Toute entité publique ou privée, quelle que soit leur taille ou secteur, qui traite des données personnelles de personnes situées dans l’UE ou qui cible des personnes dans l’UE.
  Exemple : une association, une administration, une PME.

• Champ d’application territorial : La réglementation s’applique à toute organisation établie dans l’UE ou traitant des données de personnes dans l’UE, même si le traitement a lieu hors UE.
  Exemple : une société américaine ciblant des clients européens.

• Exception domestique : Traitements de données à usage strictement privé (ex : contacts personnels) qui ne relèvent pas du RGPD, sauf si l’organisme fournit la solution (ex : fabricant d’un objet connecté).
  Exemple : stockage de photos familiales sur un cloud personnel.

📝 Points essentiels

• Le RGPD concerne tous les organismes, publics ou privés, indépendamment de leur taille ou secteur d’activité.
• La réglementation s’applique selon deux critères : la localisation de l’organisme (établissement dans l’UE) ou le ciblage (traitement de données de personnes dans l’UE).
• Le responsable de traitement décide des finalités et moyens du traitement, tandis que le sous-traitant agit sur instruction.
• La responsabilité du respect du RGPD incombe principalement au responsable de traitement, mais le sous-traitant doit aussi respecter ses obligations contractuelles.
• La sphère privée est généralement exclue du RGPD, sauf si l’organisme fournit une solution technologique (ex : appareils connectés).

💡 À retenir

Le RGPD s’applique à toute organisation traitant des données de personnes dans l’UE ou ciblant ces personnes, en responsabilisant à la fois le responsable de traitement et le sous-traitant, tout en excluant les usages strictement personnels.

📖 11. Champ d’application territorial

🔑 Notions clés & Définitions

• Champ d’application territorial : Critère déterminant si le RGPD s’applique à un traitement de données personnelles en fonction de la localisation de l’organisme ou des personnes concernées, indépendamment du lieu où le traitement est effectué.

• Critère de l’établissement : Le RGPD s’applique à tout organisme ayant une présence physique (siège, filiale, bureau) dans l’Union européenne, même si le traitement des données n’a pas lieu dans l’UE.

• Critère du ciblage : Le RGPD concerne également les organismes situés hors de l’UE si leur activité vise des personnes dans l’UE, par exemple en proposant des biens ou services ou en suivant leur comportement dans l’UE.

• Responsable de traitement : Organisme qui détermine les finalités et moyens du traitement, responsable de la conformité au RGPD, qu’il soit situé dans ou hors de l’UE selon le critère territorial.

• Sous-traitant : Organisme qui traite des données pour le compte d’un responsable de traitement, sous ses instructions, peu importe sa localisation géographique.

• Exception domestique : Cas où le RGPD ne s’applique pas aux traitements effectués dans un cadre privé, à usage strictement personnel, sans lien professionnel ou commercial.

📝 Points essentiels

• Le RGPD s’applique à tout organisme établi dans l’UE ou dont l’activité cible des personnes dans l’UE.
• La territorialité repose sur deux critères : l’établissement dans l’UE ou le ciblage des personnes dans l’UE.
• La distinction entre responsable de traitement et sous-traitant influence la répartition des responsabilités.
• Les traitements à usage privé dans le cadre domestique sont exclus du champ d’application, sauf si l’organisme fournit une solution ou un service numérique.

💡 À retenir

Le RGPD s’applique dès lors qu’un organisme, qu’il soit situé dans l’UE ou hors de l’UE, traite des données de personnes situées dans l’UE, selon le critère de l’établissement ou du ciblage, renforçant ainsi la protection des droits des citoyens européens.

📖 12. Responsable de traitement et sous-traitant

🔑 Notions clés & Définitions

• Responsable de traitement (RT) : organisme qui détermine les finalités et les moyens du traitement des données personnelles. Il est responsable de garantir la conformité au RGPD et doit informer les personnes concernées.
• Sous-traitant (ST) : organisme qui traite des données personnelles pour le compte et sur instruction du responsable de traitement. Il doit respecter ses obligations contractuelles et légales.
• Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, comme le nom, l’adresse, ou l’identifiant en ligne.
• Traitement de données personnelles : toute opération ou ensemble d’opérations effectuées sur des données personnelles, telles que la collecte, l’enregistrement, la transmission ou la suppression.
• Exception domestique : traitement de données à titre strictement privé, sans lien professionnel ou commercial, qui n’est pas soumis au RGPD.

📝 Points essentiels

• Le RGPD s’applique à tout organisme, public ou privé, qui traite des données de personnes situées dans l’UE, que ce soit par établissement ou ciblage.
• La distinction entre responsable de traitement et sous-traitant détermine la répartition des responsabilités et obligations légales.
• Le responsable de traitement décide du pourquoi et du comment du traitement, il doit respecter le principe de transparence et d’information des personnes.
• Le sous-traitant intervient uniquement sur instruction du responsable, notamment dans des activités comme l’hébergement ou la maintenance informatique.
• La relation entre RT et ST doit être formalisée par un contrat précisant les obligations de chacun, notamment en matière de sécurité et de confidentialité.
• Le traitement privé dans un cadre strictement personnel est exempté du RGPD, sauf si l’organisme fournit une solution ou un service impliquant des données personnelles (ex : fabricants d’objets connectés).

💡 À retenir

Le responsable de traitement décide de l’usage des données personnelles, tandis que le sous-traitant agit selon ses instructions ; tous deux doivent respecter le RGPD pour protéger la vie privée des individus.

📊 Tableaux de Synthèse

⚠️ Pièges & Confusions Fréquentes

1. Confondre responsable de traitement et sous-traitant : le responsable décide du traitement, le sous-traitant exécute selon ses instructions.
2. Mauvaise interprétation du consentement : doit être libre, spécifique, éclairé, univoque, et recueilli avant traitement.
3. Croire que la pseudonymisation élimine tout risque : elle réduit mais ne supprime pas le risque de réidentification.
4. Confondre la portée territoriale du RGPD avec celle de la loi nationale : le RGPD s’applique à tout traitement dans l’UE, même hors UE si lié à des citoyens européens.
5. Négliger l’obligation de notification en cas de violation de données : doit être faite dans les 72 heures.
6. Oublier que la responsabilité incombe aussi aux sous-traitants : ils doivent respecter le RGPD via un contrat.
7. Confondre les droits des personnes : accès, rectification, opposition, suppression, portabilité, limitation.

✅ Checklist Examen

• Maîtriser la chronologie de l’évolution de la protection des données (SAFARI, loi 1978, directive 95/46, RGPD).
• Connaître la définition de données à caractère personnel.
• Savoir distinguer responsable de traitement et sous-traitant.
• Comprendre le champ d’application territorial du RGPD.
• Être capable d’énoncer les droits fondamentaux des personnes concernées.
• Identifier les obligations principales du responsable de traitement selon le RGPD.
• Connaître le rôle et les missions de la CNIL.
• Savoir ce qu’est la pseudonymisation et ses limites.
• Vérifier la compréhension des risques liés à la réidentification.
• Connaître les sanctions encourues en cas de non-respect du RGPD.
• Savoir ce qu’est une violation de données et la procédure de notification.
• Vérifier la maîtrise des notions de traitement, finalité, et principe de minimisation des données.