Fiche de révision : Protection des données personnelles et RGPD

📋 Plan du Cours

1. Données personnelles et identification
2. Catégories de données personnelles
3. Collecte des données et déclaration CNIL
4. Droits des personnes sur leurs données
5. Sanctions CNIL et pénales
6. RGPD : objectifs, champ et acteurs
7. Principes de protection des données
8. Démarche de conformité en entreprise
9. Identité numérique : notions et composantes
10. Ombre numérique, e-réputation et enjeux
11. Anonymat et traçabilité juridique
12. Révolution numérique : big data, IA, Uberisation

📖 1. Données personnelles et identification

🔑 Notions clés & Définitions

• Données personnelles : Les données personnelles désignent toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment via un identifiant ou des éléments propres.
• Personne physique identifiable : Une personne est identifiable quand on peut la reconnaître directement ou indirectement grâce à des informations ou à des éléments la concernant.
• Données à caractère personnel : Les données à caractère personnel regroupent les informations permettant d’identifier une personne, avec des catégories allant de l’identité aux données biométriques.
• Données sensibles : Les données sensibles correspondent à des catégories d’informations particulièrement protégées, dont la collecte est en principe interdite.

📝 Points essentiels

• Les données personnelles couvrent aussi les informations qui permettent d’identifier une personne physique, même sans identifiant unique explicite.
• Les éléments d’identité incluent notamment le nom, l’image, la vidéo et l’adresse postale.
• Les données permettant l’identification comprennent par exemple la biométrie (voix, empreintes, iris) ainsi que le numéro de téléphone et l’e-mail.
• Les données sensibles sont interdites à la collecte, notamment l’origine ethnique, les opinions politiques, religieuses ou philosophiques, la santé, les mœurs et l’orientation sexuelle.
• La loi du 6 janvier 1978 sur l’informatique et les libertés encadre la collecte, modifiée par la loi du 6 août 2004.
• La CNIL est une autorité administrative indépendante chargée de veiller à ce que l’informatique serve le citoyen et respecte l’identité humaine, les droits fondamentaux et la vie privée.

💡 Astuce mémo

Identif = Direct ou Indirect : identifiant ou éléments propres ; Sensibles = interdites (origine, opinions, santé, mœurs, orientation).

📖 2. Catégories de données personnelles

🔑 Notions clés & Définitions

• Données personnelles : Données personnelles : informations permettant d’identifier directement ou indirectement une personne, et donc encadrées par le RGPD.
• Fichier de données personnelles : Fichier de données personnelles : ensemble structuré de données personnelles destiné à être traité, soumis à des obligations déclaratives et de conformité.
• CNIL : CNIL : autorité française de contrôle qui encadre la conformité des traitements de données et peut prononcer des sanctions.
• RGPD : RGPD : règlement européen qui fixe les règles applicables au traitement des données personnelles dans l’Union européenne.

📝 Points essentiels

• La création d’un fichier de données personnelles implique une déclaration obligatoire auprès de la CNIL.
• Le dossier doit préciser quelles données seront enregistrées, la durée de conservation et les traitements automatisés prévus.
• Le respect du RGPD encadre l’ensemble du traitement (collecte, enregistrement, conservation et traitements).
• Le RGPD vise une application égalitaire dans l’UE et s’inscrit dans la continuité de la loi française « informatique et Libertés » de 1978.
• En cas de non-conformité RGPD, la pénalité peut atteindre jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros.

💡 Astuce mémo

RGPD = 25/05/2018 + 4% CA ou 20 M€ : « date d’entrée + plafond de sanction ».

📖 3. Collecte des données et déclaration CNIL

🔑 Notions clés & Définitions

• RGPD : Règlement européen qui encadre la collecte et le traitement des données personnelles pour protéger les personnes concernées.
• Données à caractère personnel : Informations permettant d’identifier directement ou indirectement une personne, comme un nom, une adresse électronique ou des données médicales.
• Finalité : But précis, légal et légitime pour lequel un responsable collecte et utilise des données personnelles.
• Proportionnalité et pertinence : Exigence selon laquelle les données collectées doivent être strictement nécessaires à la finalité annoncée.
• DPO : Délégué à la protection des données chargé de piloter la gouvernance et le contrôle interne des traitements de données personnelles.

📝 Points essentiels

• Le RGPD entre en vigueur le 25 mai 2018.
• La non-conformité au RGPD peut entraîner une pénalité jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros.
• Le RGPD vise à protéger les citoyens européens contre la perte, la destruction, la falsification et l’utilisation abusive de leurs données personnelles.
• La collecte et l’usage des données doivent respecter une finalité précise, légale et légitime.
• Les données enregistrées doivent être pertinentes et strictement nécessaires par rapport au but du traitement.
• La durée de conservation doit être limitée et fixée précisément selon la finalité et le type d’information.

💡 Astuce mémo

Finalité → Nécessaire → Durée limitée : FND.

📖 4. Droits des personnes sur leurs données

🔑 Notions clés & Définitions

• Délégué à la protection des données : Fonction interne chargée d’informer, conseiller et contrôler la conformité des traitements de données personnelles.
• DPO : Acronyme de Data Protection Officer, désignant le délégué à la protection des données.
• Registre des traitements : Document qui recense de façon précise les traitements de données personnelles réalisés par une organisation.
• Analyse d’Impact relative à la Protection des Données : Évaluation menée pour chaque traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
• EIVP : Nom français de l’étude d’impact sur la vie privée, correspondant à l’analyse d’impact relative à la protection des données.

📝 Points essentiels

• Le DPO (ou DPD) exerce une mission d’information, de conseil et de contrôle en interne.
• La cartographie passe par un registre des traitements pour mesurer concrètement l’impact des traitements sur les personnes.
• Les actions de mise en conformité se priorisent à partir du registre, en fonction des risques pour les droits et libertés.
• Une AIPD (EIVP) est requise pour chaque traitement susceptible d’engendrer des risques élevés.
• Les processus internes doivent couvrir tout le cycle de vie du traitement, y compris faille de sécurité, demandes d’accès ou de rectification, modifications des données et changement de prestataire.
• La conformité se prouve par une documentation regroupée et réexaminée régulièrement pour rester à jour en continu.

💡 Astuce mémo

DPO = Conseil + Contrôle ; Registre = Carte des traitements ; AIPD/EIVP = Risque élevé → Évaluer ; Docs = Preuve continue.

📖 5. Sanctions CNIL et pénales

🔑 Notions clés & Définitions

• CNIL : Autorité administrative indépendante chargée de veiller au respect des règles de protection des données personnelles en France.
• Sanctions CNIL : Conséquences prévues par le droit pour sanctionner les manquements aux règles de protection des données constatés par la CNIL.
• Sanctions pénales : Peines prévues par le droit pénal en cas d’infractions liées au traitement ou à l’usage illicite de données personnelles.
• Diffamation : Infraction consistant à imputer à une personne un fait portant atteinte à son honneur ou à sa considération, même via internet.
• Oubli numérique : Principe selon lequel il est difficile d’effacer totalement des traces sur internet, ce qui rend la suppression des données exceptionnelle.

📝 Points essentiels

• La CNIL peut prononcer des sanctions en cas de non-respect des règles applicables aux traitements de données personnelles.
• Les sanctions peuvent viser des manquements liés à la collecte, à la conservation ou à l’exploitation des données, selon ce qui est reproché.
• En parallèle, des comportements peuvent aussi relever du pénal, entraînant des poursuites et des peines prévues par le droit pénal.
• La diffamation est facilitée par la diffusion en ligne, car n’importe qui peut publier avec une audience potentiellement très large.
• L’effacement complet des traces est difficile sur internet, car des copies peuvent persister via des caches informatiques.
• Après la mort, la présence de traces en ligne peut poser la question d’une “mort virtuelle” et de la transmission de ces traces.

💡 Astuce mémo

CNIL = contrôle + sanctions ; pénal = infraction + peine ; Diffamation = “n’importe qui raconte” ; Oubli = exception car caches.

📖 6. RGPD : objectifs, champ et acteurs

🔑 Notions clés & Définitions

• RGPD : Le RGPD est un règlement européen qui encadre le traitement des données personnelles pour mieux protéger les personnes.
• Données personnelles : Les données personnelles sont toutes les informations permettant d’identifier directement ou indirectement une personne.
• CNIL : La CNIL est l’autorité française chargée de veiller au respect du RGPD et d’accompagner les acteurs.
• Responsable de traitement : Le responsable de traitement est l’entité qui décide des finalités et des moyens du traitement des données.
• Sous-traitant : Le sous-traitant traite des données pour le compte du responsable, selon ses instructions.

📝 Points essentiels

• Le RGPD vise à renforcer la protection des personnes face aux usages des données personnelles par entreprises et administrations.
• Le champ du RGPD couvre les traitements de données personnelles, y compris quand ils sont liés à des services en ligne et à la collecte de traces.
• La CNIL intervient comme autorité de contrôle en France pour faire respecter les règles applicables aux traitements de données.
• Le responsable de traitement décide pourquoi et comment les données sont traitées, tandis que le sous-traitant exécute le traitement pour ce compte.
• Les traitements doivent respecter des exigences encadrant notamment la conservation et l’accès aux données, avec des questions d’accès futur.
• Le RGPD s’inscrit dans un contexte où l’effacement est difficile sur internet, ce qui rend la maîtrise des données centrale.

💡 Astuce mémo

RGPD = « Qui décide ? Qui agit ? » : Responsable fixe finalités/moyens, Sous-traitant exécute ; CNIL contrôle.

📖 7. Principes de protection des données

🔑 Notions clés & Définitions

• Attention du consommateur : Notion économique désignant la ressource recherchée par les acteurs numériques, car elle conditionne la réception des messages publicitaires.
• Profilage de l’internaute : Technique d’exploitation des traces numériques pour construire un profil et proposer des contenus ou offres adaptées aux comportements observés.
• Identités numériques : Ensemble des données produites par l’activité en ligne (clics, vues, likes, votes) utilisées pour mesurer et cibler les utilisateurs.
• Données personnelles : Informations permettant d’identifier directement ou indirectement une personne, collectées puis exploitées pour des services ou du ciblage.
• Gratuité sur internet : Modèle où l’accès au service semble sans coût, mais où la valeur est souvent financée par la publicité et l’exploitation des données.

📝 Points essentiels

• L’économie numérique échange surtout de l’attention plutôt que la marchandise ou l’information, ce qui rend la disponibilité du cerveau centrale pour la publicité.
• La publicité est présentée comme un moteur de profit car capter l’attention de l’internaute devient le facteur déterminant.
• Internet ajoute l’interactivité, permettant d’exploiter des audiences (visites, clics, vues, likes, votes) pour ajuster la communication.
• Le profilage exploite des identités numériques pour produire des offres ciblées et des publicités comportementales, ainsi que des produits adaptés aux goûts.
• La « gratuité » est décrite comme un leurre : héberger et faire vivre un site a un coût, souvent couvert par la publicité.
• Une bonne publicité est celle qui vise le bon public, et ce ciblage s’appuie sur l’analyse des données personnelles collectées.

💡 Astuce mémo

Attention = monnaie : plus on capte, plus on vend ; données = carburant du ciblage.

📖 8. Démarche de conformité en entreprise

🔑 Notions clés & Définitions

• Données personnelles : Les données personnelles sont des informations permettant d’identifier directement ou indirectement une personne.
• Collecte dans le cloud : La collecte dans le cloud regroupe l’indexation et l’analyse de contenus stockés en ligne comme photos, mails et fichiers.
• Adresse IP : L’adresse IP est l’identifiant d’un périphérique connecté à Internet, généralement stable pour un abonnement.
• Cookies : Les cookies sont des fichiers témoins déposés par les sites sur le navigateur pour tracer l’activité en ligne.
• Digital labor : Le digital labor désigne la production de valeur par les utilisateurs des services numériques, sans rémunération directe.

📝 Points essentiels

• Les contenus stockés dans le cloud (photos, mails, fichiers) peuvent être indexés pour analyser leur contenu.
• Les applications mobiles peuvent accéder à des SMS, contacts, appels, et à la géolocalisation.
• Les objets connectés utilisent des capteurs pour recueillir des données liées aux habitudes de vie.
• L’adresse IP correspond à l’identifiant du périphérique sur Internet et peut rester la même pour un abonnement.
• Les cookies permettent de tracer l’activité web et d’inférer des préférences (goûts, envies).
• La vente de données personnelles peut être lucrative via des entreprises spécialisées et des profils monétisés (ex. 0,01$à 5$).

💡 Astuce mémo

Cloud = Contenu ; IP = Identité réseau ; Cookies = Traçage web ; App = Accès mobile ; Objets connectés = Habitudes mesurées.

📖 9. Identité numérique : notions et composantes

🔑 Notions clés & Définitions

• Identité numérique : Ensemble des traces et contenus associés à une personne en ligne, produits par ses actions et par les systèmes qui la profilent.
• Fake news : Information présentée comme factuelle mais fabriquée ou trompeuse, souvent amplifiée par le partage et l’émotion.
• Troll : Comportement visant à provoquer ou perturber une discussion en ligne par des messages volontairement mensongers ou provocateurs.
• Clôture informationnelle : Situation où l’exposition aux contenus se réduit à ce qui correspond aux préférences, ce qui diminue la diversité des points de vue.
• Sérendipité : Capacité à découvrir par hasard des informations ou idées nouvelles, favorisée par une exposition variée.

📝 Points essentiels

• Les sites peuvent diffuser des contenus peu fiables, repris sans valeur ajoutée, surtout pour générer vues, likes et partages.
• Les pages web laissent des traces via des cookies de marketing et peuvent se recharger, ce qui complique le contrôle de ce qu’on a réellement consulté.
• Le retour arrière est parfois difficile et la fermeture d’une page bloquée peut gêner la navigation, tandis que les articles sont découpés en plusieurs pages.
• Internet n’est pas seulement une source d’information : on peut diffuser une info sans être réellement informé, ce qui augmente la propagation d’erreurs.
• Pour valider une information, il faut vérifier et croiser les sources avant de se faire un avis et de partager.
• Les risques de manipulation incluent fakes, trolls, humour trompeur, complotisme, trucages, information virale, chaînes, spam, arnaques et fishing.

💡 Astuce mémo

Fake news = Fausse info + Amplification (partage/émotion) ; Clôture info = Filtre des goûts → moins de sérendipité.

📖 10. Ombre numérique, e-réputation et enjeux

🔑 Notions clés & Définitions

• Ombre numérique : Ensemble des traces laissées en ligne (données, interactions, contenus) qui peuvent être exploitées pour vous décrire ou vous prédire.
• E-réputation : Image publique construite par les traces numériques, avis et commentaires, qui influence la perception des autres et vos opportunités.
• Sérendipité : Capacité à découvrir par hasard des informations ou points de vue nouveaux, favorisée par la diversité des contenus rencontrés.
• Big data : Données numériques massives et variées, dont l’analyse permet d’extraire des tendances et de produire des prédictions.
• Intelligences artificielles : Systèmes capables d’analyser des données et d’effectuer des tâches (réponse, traduction, prédiction) en s’appuyant sur des modèles statistiques.

📝 Points essentiels

• Les informations personnalisées selon vos goûts réduisent les chances de sérendipité et peuvent diminuer à terme le savoir commun et la curiosité.
• Le partage via vos contacts sociaux tend à limiter les points de vue différents, ce qui homogénéise l’information reçue.
• Les commentaires en ligne posent un dilemme entre éclairage pertinent et dérive vers l’idiocratie.
• Le vote et la note deviennent une norme de relation sociale, orientant la visibilité et la valeur perçue des contenus.
• L’explosion des données numériques a conduit à de nouvelles méthodes d’analyse et à une activité économique majeure.
• Le volume cité est d’environ 2,5 trillions d’octets de données par jour, provenant de messages, tweets, vidéos, données climatiques et signaux GPS notamment.

💡 Astuce mémo

Sérendipité = diversité ; Personnalisation = filtre ; Moins de diversité = moins de découverte.

📖 11. Anonymat et traçabilité juridique

🔑 Notions clés & Définitions

• Anonymat numérique : L’anonymat numérique désigne l’absence d’identification directe d’un utilisateur lors des échanges en ligne.
• Traçabilité juridique : La traçabilité juridique correspond à la capacité du droit à relier des actions numériques à des personnes ou à des acteurs identifiables.
• Cryptage : Le cryptage est une technique qui rend les données illisibles sans la clé, ce qui limite la surveillance du contenu.
• Réseaux anonymes : Les réseaux anonymes sont des dispositifs visant à réduire la capacité d’identifier l’origine ou la destination des communications.
• Neutralité des réseaux : La neutralité des réseaux est l’idée que les opérateurs ne devraient pas être responsables du contenu transporté sur leurs infrastructures.

📝 Points essentiels

• Les usages numériques massifs transforment les méthodes de sécurité, en s’appuyant davantage sur la surveillance des réseaux et des données échangées.
• Le renseignement militaire et civil cherche des résultats via l’observation des échanges numériques, ce qui pose la question du prix à payer.
• Les législations sur la sécurité et le droit d’auteur mettent en tension la neutralité des réseaux.
• La neutralité des réseaux invoque la non-responsabilité des opérateurs réseau vis-à-vis du contenu transitant sur leurs réseaux.
• Le cryptage et les réseaux anonymes deviennent des cibles pour les services de sécurité.
• La sécurité informatique devient une affaire collective, avec des comportements prudents (poste de travail, navigation responsable, réflexion avant de cliquer ou de parler).

💡 Astuce mémo

Anonymat = cryptage/réseaux anonymes ; Traçabilité = surveillance réseau/données ; Neutralité = opérateur non responsable du contenu.

📖 12. Révolution numérique : big data, IA, Uberisation

🔑 Notions clés & Définitions

• IA : Technologie d’intelligence artificielle qui assiste la décision en exploitant des données pour produire des recommandations ou des analyses.
• Big data : Ensemble massif de données collectées et combinées pour repérer des tendances, profiler des comportements et améliorer des services.
• Uberisation : Transformation de l’économie par des plateformes numériques qui mettent en relation offre et demande et reconfigurent les modèles de travail et de service.
• Intelligence économique : Démarche d’analyse et d’anticipation qui mobilise des données pour soutenir des décisions stratégiques et concurrentielles.
• Surveillance participative : Surveillance rendue possible par la participation des utilisateurs via leurs connexions, traces et partages de données.

📝 Points essentiels

• L’IA est présentée comme une aide à la décision avec des retombées possibles dans les domaines médical, social, économique, culturel et la domotique.
• L’analyse de tendances à partir de données issues de réseaux sociaux (ex. Twitter) est citée comme un usage concret du numérique.
• La question du « prix » de la révolution porte sur la redéfinition de la vie privée et sur la normalisation de la connexion et de la géolocalisation.
• Le cours évoque la fin d’un noyau protégé de la vie privée et l’acceptation d’une surveillance mutuelle et participative.
• Le comportementalisme numérique est relié à un risque d’appauvrissement du savoir via des contenus personnalisés qui réduisent ouverture d’esprit et sérendipité.
• Les analyses algorithmiques des goûts, mœurs et consommations visent à proposer des contenus adaptés aux consommateurs, mais peuvent limiter la diversité des perspectives.

💡 Astuce mémo

IA = Aide à la Décision ; Big data = Briques de Données ; prix = Vie privée + Sécurité informatique ; risque = Bulles de contenus (moins de sérendipité).

📅 Repères chronologiques

📊 Tableaux de synthèse

Droits des personnes (liste du cours)

⚠️ Pièges & confusions fréquents

1. Confondre données personnelles et données sensibles : les sensibles sont interdites de collecte en principe, alors que les données personnelles sont seulement encadrées.
2. Croire que l’anonymat sur internet rend juridiquement anonyme : pseudos/VPN/TOR masquent, mais les sites et opérateurs gardent des traces et l’IP identifie.
3. Penser que la navigation privée rend anonyme : elle n’empêche pas les traces côté sites et FAI, elle limite seulement sur votre périphérique.
4. Oublier la logique RGPD FND : finalité doit être précise, les données pertinentes et strictement nécessaires, et la durée de conservation doit être limitée.
5. Confondre identité déclarative, agissante et calculée : les traces involontaires et les déductions algorithmiques ne sont pas la même source.
6. Réduire la « gratuité » à l’absence de coût : le cours insiste que la publicité finance souvent l’hébergement et le fonctionnement.
7. Croire qu’une info vue en ligne est forcément vraie : fakes, trolls, manipulation, contexte manquant et clickbait peuvent tromper.

✅ Checklist Examen

1. Définir les données personnelles : information relative à une personne identifiée ou identifiable, directement ou indirectement, via un numéro ou des éléments propres.
2. Lister les catégories : éléments d’identité (nom, image, vidéo, adresse postale), données permettant l’identification (biométrie, n° de tél., email) et données sensibles (interdites de collecte).
3. Expliquer le rôle de la CNIL et la base légale : loi du 6 janvier 1978 modifiée par la loi du 6 août 2004, et missions informer/protéger/accompagner/contrôler et sanctionner.
4. Décrire la déclaration obligatoire CNIL pour créer un fichier : préciser quelles données, la durée de conservation et les traitements automatisés prévus.
5. Citer les dates clés RGPD : entrée en vigueur le 25 mai 2018, objectifs (droits, responsabilisation, coopération) et pénalité jusqu’à 4% du CA ou 20 millions d’euros.
6. Maîtriser les 5 grands principes : finalité ; proportionnalité/pertinence ; durée limitée ; sécurité/confidentialité ; respect des droits des personnes.
7. Réciter la démarche en 6 étapes en entreprise : désigner un pilote (DPO/DPD), cartographier (registre), prioriser, gérer les risques (AIPD/EIVP), organiser les processus, documenter et réexaminer.
8. Connaître les droits des personnes tels que listés : information, accès, rectification, opposition, déréférencement, portabilité, et accès indirect via la CNIL pour police/gendarmerie/renseignement.
9. Expliquer les sanctions : types par la CNIL (avertissement, injonction/retrait, verrouillage, recours au Premier ministre, amende max 150 000 €) et peines par tribunal (jusqu’à 5 ans, articles 226-16 et suivants).
10. Définir l’identité numérique et ses composantes : identité déclarative, agissante, calculée, et notions connexes (ombre numérique, présence numérique, e-réputation).
11. Expliquer anonymat vs non-responsabilité juridique : traces de connexion, IP/FAI, encadrement légal, et limites de la navigation privée, VPN et TOR.
12. Relier économie et révolution numérique : capter l’attention, collecte (inscription, J’aime/partager, cloud, apps, objets connectés, IP, cookies), commerce des données, clickbait/forçage, validation de l’info, clôture/sé
13. endipité, big data/IA/uberisation, surveillance et sécurité informatique.