Fiche de révision : Protection des données personnelles et RGPD

📋 Plan du Cours

1. Droit des données personnelles et perspectives
2. Technologie et données numériques
3. Données personnelles, identification et profilage
4. Traitement des données, collecte et fichiers
5. Acteurs du traitement et champ du RGPD
6. Bases légales du traitement et consentement
7. Mineurs et consentement des personnes incapables
8. Mort numérique et directives après décès
9. Limitations des droits par la loi LIL
10. Autorités européennes et rôle du G29
11. Délégué à la protection des données et indépendance
12. Sanctions, infractions et transferts internationaux

📖 1. Droit des données personnelles et perspectives

🔑 Notions clés & Définitions

• Droit des données personnelles : Ensemble des règles juridiques qui encadrent la collecte, l’usage et la circulation des données relatives à des personnes physiques afin de protéger leurs droits et libertés.
• Convention 108 : Convention du Conseil de l’Europe posant des standards de protection des données personnelles des personnes physiques, complétés ensuite par le droit de l’Union européenne.
• RGPD : Règlement européen du 27 avril 2016 qui harmonise la protection des données personnelles dans l’Union et renforce les droits des personnes concernées.
• Directive 2016/680 Police-Justice : Directive européenne du 27 avril 2016 qui encadre le traitement des données personnelles dans les domaines de la prévention, de l’enquête, de la recherche et des poursuites pénales.
• Loi Informatique et Libertés : Loi française du 6 juin 1978, modifiée, qui complète le cadre européen et organise notamment des marges nationales pour la protection des données personnelles.

📝 Points essentiels

• La protection des données personnelles s’inscrit dans l’idée que les droits et libertés naissent et se renforcent d’abord dans les univers numériques centrés sur les personnes physiques.
• Les données personnelles concernent notamment la navigation, l’identification, la santé, la localisation et les données liées au travail, avec des risques quotidiens d’aspiration via des traceurs comme les cookies.
• Le RGPD est applicable depuis le 25 mai 2018 et modifie la logique de marchandisation des données personnelles au sein de l’Union européenne.
• La Directive Police-Justice impose une transposition nationale, et la France l’a intégrée notamment via la loi Informatique et Libertés.
• Le RGPD laisse des marges nationales, précisées en France par la loi Informatique et Libertés, ce qui explique des différences d’application selon les États membres.
• Le cours articule la matière en trois perspectives : technologique, économique et politique, pour comprendre à la fois les enjeux de protection, de valorisation et de rapports de force (Europe vs GAFAM).

💡 Astuce mémo

Données = Droits : 108 (Europe) → RGPD (UE) → Police-Justice (pénal) → LIL (France).

📖 2. Technologie et données numériques

🔑 Notions clés & Définitions

• Directive Open Data 2019 : Directive européenne de 2019 qui encadre la réutilisation des informations du secteur public, avec un régime par défaut favorable à l’accès et à la gratuité.
• CNIL : Commission Nationale de l’Informatique et des Libertés, autorité administrative indépendante créée par la loi Informatique et Libertés pour garantir les droits des personnes.
• Loi Informatique et Libertés 1978 : Loi française du 6 janvier 1978 qui fonde le régime national de protection des données personnelles et crée la CNIL.
• Donnée à caractère personnel : Information relative à une personne physique identifiée ou identifiable, directement ou indirectement, par des éléments comme des identifiants ou des caractéristiques.
• Traitement des données : Ensemble d’opérations appliquées à des données, automatisées ou non, permettant d’exploiter les données pour des finalités déterminées.

📝 Points essentiels

• Le cadre européen de l’Open Data s’appuie notamment sur une directive de 2003 puis surtout sur la directive « Open Data » de 2019.
• Le régime par défaut de l’Open Data facilite l’accès et la réutilisation des informations, avec gratuité sauf pour les coûts marginaux de reproduction et de diffusion.
• Le droit de la réutilisation des données protégées par le secteur public est précisé par le « Règlement DGA » mentionné dans le cours.
• La protection des données personnelles naît dans les années 1960 avec des fichiers d’informations nominatives, puis s’accélère après des alertes sur les usages possibles.
• Le projet « Safari » (1974) de regroupement massif de fichiers de police déclenche un scandale et conduit à l’abandon du projet.
• Le Conseil d’État (rapport des années 1970) pose les bases d’un régime juridique avec notamment droit d’accès, consentement et contrôle par une autorité indépendante accessible aux administrés.

💡 Astuce mémo

Open Data = « par défaut gratuit » ; Données perso = « identifiable = protégé » ; CNIL = « contrôle indépendant ».

📖 3. Données personnelles, identification et profilage

🔑 Notions clés & Définitions

• Directive e-Privacy : Directive européenne de 2002 protégeant les données sur les réseaux, notamment pour les traceurs et les cookies.
• Directive Police-Justice : Directive encadrant des traitements de données dans le champ police et justice, avec un régime distinct du RGPD pour certains cas.
• Directive PNR : Directive relative aux dossiers passagers (Passenger Name Record) encadrant la collecte et l’usage de données de voyage.
• Accountability : Principe du RGPD imposant aux organismes de prendre des mesures et de prouver à tout moment la conformité de leurs traitements.
• Privacy by Design : Principe imposant d’intégrer la protection des données dès la conception des systèmes et traitements, sans ajout tardif.

📝 Points essentiels

• Le régime antérieur reposait sur des déclarations préalables à la CNIL, devenues ingérables avec l’explosion des flux numériques au début des années 2000.
• L’absence de déclaration ou le non-respect des obligations pouvait constituer une infraction pénale lourde, notamment via l’article 226-16 du Code pénal, avec jusqu’à 3 ans d’emprisonnement et 50 000 € d’amende.
• Le RGPD remplace largement les déclarations par la responsabilité, avec des exceptions pour certains traitements (notamment Police-Justice, sûreté de l’État et santé).
• L’article 31 du RGPD maintient les effets des anciennes déclarations pendant 10 ans à compter de 2018 pour les organismes déjà déclarants.
• Le responsable de traitement détermine finalités et moyens, et l’obligation de conformité pèse aussi sur les sous-traitants, notamment via l’article 28 du RGPD.
• L’article 24 du RGPD impose des mesures techniques et organisationnelles appropriées, adaptées à la taille et à la structure de l’organisme.

💡 Astuce mémo

Déclaration → trop lourd ; RGPD → preuve permanente (accountability).

📖 4. Traitement des données, collecte et fichiers

🔑 Notions clés & Définitions

• Finalité du traitement : La finalité du traitement désigne le but précis qui justifie la collecte et l’usage des données personnelles.
• Traitement imposé par obligation légale : Le traitement imposé par un texte légal est autorisé dès qu’une règle prévoit la collecte et en fixe les limites.
• Sauvegarde des intérêts vitaux : La base de sauvegarde des intérêts vitaux permet de traiter des données quand la situation met en jeu la vie de la personne ou d’un tiers.
• Intérêt légitime : L’intérêt légitime est une base légale fondée sur une mise en balance entre l’intérêt du responsable et les droits fondamentaux des personnes.
• Mission d’intérêt public : La mission d’intérêt public autorise un traitement visant une finalité poursuivie par une autorité publique ou des entités exerçant des prérogatives.

📝 Points essentiels

• Un contrat résilié ou arrivé à terme fait tomber la finalité qui justifiait le traitement des données.
• L’obligation légale est déterminée par le texte : dès que l’obligation justifie le traitement, la personne est contrainte de s’y soumettre.
• Le traitement d’un patient inconscient aux urgences illustre la base de sauvegarde des intérêts vitaux.
• L’intérêt légitime n’est pas une base « par défaut » : il exige des conditions de légitimité, de nécessité et de respect des droits des personnes.
• La CJUE (affaire « META », 04 juillet 2023) encadre l’intérêt légitime en imposant un traitement dans les limites du « strictement nécessaire » et sans déprécier les droits fondamentaux.
• La mission d’intérêt public exige un texte de justification et ne se présume pas, même si les intérêts publics peuvent être variés.

💡 Astuce mémo

Intérêt légitime = « Légitime + Nécessaire + Équilibre » (pas de base par défaut).

📖 5. Acteurs du traitement et champ du RGPD

🔑 Notions clés & Définitions

• Convention 108 : Convention internationale encadrant la protection des données personnelles, souvent présentée comme moins contraignante pour les États que le RGPD.
• Recommandation OCDE 2013 : Texte de l’OCDE fixant des lignes directrices sur la protection de la vie privée et la réglementation des données personnelles.
• Charte des Droits Fondamentaux : Texte de droit primaire de l’Union qui consacre des droits liés à la vie privée et à la protection des données personnelles.
• Autorité indépendante : Institution chargée de contrôler le respect des règles de protection des données, en garantissant l’effectivité du droit.
• Consentement du titulaire : Manifestation de volonté du titulaire des données, exigée pour certains traitements et encadrée par des conditions strictes.

📝 Points essentiels

• Le RGPD est présenté comme un cadre très exigeant, tandis que la Convention 108 est citée comme une alternative plus abordable pour des États hors UE.
• L’Assemblée générale de l’ONU a adopté le 14 décembre 1990 des principes directeurs sur la réglementation des fichiers personnels informatisés.
• La recommandation OCDE de 2013 énonce des lignes directrices sur la protection de la vie privée, en complément des textes internationaux.
• L’article 8§1 de la Charte consacre explicitement le principe de protection des données personnelles et encadre les principes directeurs du traitement.
• Le TFUE, notamment l’article 16, reconnaît le droit des personnes physiques à la protection des données.
• La CJUE a reconnu la valeur de ce droit fondamental dans l’arrêt du 8 avril 2014 « Digital Rights Ireland » en rattachant la protection à l’article 8 de la Charte.

💡 Astuce mémo

Charte = Article 8 : données protégées + contrôle par autorité indépendante.

📖 6. Bases légales du traitement et consentement

🔑 Notions clés & Définitions

• Droit d’opposition : Droit permettant à la personne de s’opposer à un traitement de données personnelles, notamment en cas de profilage, sans devoir justifier sa raison.
• Motifs légitimes et impérieux : Condition permettant au responsable de traitement de continuer malgré l’opposition, s’il prouve des intérêts supérieurs aux droits et libertés de la personne.
• Droit à la limitation du traitement : Droit d’obtenir la limitation du traitement quand il existe un doute sur l’exactitude des données ou sur la licéité du traitement.
• Droit à l’effacement : Droit d’obtenir l’effacement des données personnelles dans les meilleurs délais, sous réserve des hypothèses et dérogations prévues.
• Droit à la portabilité : Droit de recevoir les données fournies et de les transmettre à un autre responsable de traitement, sans obstacle du premier.

📝 Points essentiels

• Le droit d’opposition s’exerce à tout moment et vise uniquement les traitements de données à caractère personnel.
• En cas de profilage, l’opposition porte sur la collecte et le traitement des données personnelles concernées.
• Le responsable de traitement ne peut plus traiter les données après opposition, sauf s’il démontre des motifs légitimes et impérieux qui prévalent.
• Le droit d’opposition ne vaut pas pour la prospection commerciale : l’opposition y est toujours possible.
• Le traitement d’opinions religieuses, politiques ou philosophiques est interdit, surtout lorsqu’elles ne sont pas anonymisées (affaire Secte de Scientologie).
• La limitation du traitement s’applique en cas de doute sur l’exactitude ou la licéité, et aussi quand les données ne sont plus nécessaires ou quand la vérification est contestée par opposition aux conditions de vérif.

💡 Astuce mémo

Opposition = stop (sauf motifs impérieux) ; Limitation = pause (doute/nécessité) ; Effacement = suppression (RGPD art. 17) ; Portabilité = transfert (données fournies).

📖 7. Mineurs et consentement des personnes incapables

🔑 Notions clés & Définitions

• Dérogations sévères : Les dérogations prévues par la loi permettent, dans des cas précis, d’écarter certaines exigences générales liées au traitement des données.
• Article R. 40-31 CPP : L’article R. 40-31 du code de procédure pénale encadre les modalités de contrôle et de traitement des demandes concernant des données issues de procédures pénales.
• Fichier TAJ : Le fichier TAJ est le traitement des antécédents judiciaires, notamment pour des catégories comme les délinquants sexuels.
• Procureur de la République : Le procureur de la République est l’autorité à laquelle certaines demandes de rectification ou d’effacement doivent être adressées.
• JLD : Le JLD est l’autorité judiciaire mentionnée comme destinataire possible des demandes, selon le cas.

📝 Points essentiels

• Les données doivent être régies pour certains fichiers liés à l’exécution des dispositions du code de procédure pénale, dont le fichier TAJ.
• Le contrôle et le suivi du traitement des données sont prévus par les articles 230-8 et 230-9 du code de procédure pénale.
• Les demandes de rectification ou d’effacement doivent être adressées au procureur territorialement compétent ou au magistrat visé à l’article 230-9.
• Toute demande adressée au procureur ou au magistrat doit, à peine d’irrecevabilité, être envoyée par lettre recommandée avec demande d’avis de réception.
• Le droit d’opposition n’est pas reconnu, mais les personnes ne sont pas fichées à vie : l’effacement peut intervenir après une durée de 20 ans.
• Les victimes peuvent s’opposer à l’inscription des données les concernant à partir du moment où l’auteur est définitivement condamné.

💡 Astuce mémo

TAJ = “20 ans” : pas d’opposition, mais effacement après 20 ans (et victimes dès condamnation définitive).

📖 8. Mort numérique et directives après décès

🔑 Notions clés & Définitions

• Directives après décès : Dispositif permettant d’anticiper, avant le décès, la manière dont les données et comptes numériques doivent être gérés après la mort.
• Données personnelles post-mortem : Données relatives à une personne décédée, dont la gestion après décès soulève des questions de protection et d’accès.
• Accès aux données après décès : Mécanisme encadré par le droit et les autorités, qui peut être accordé ou restreint selon les finalités et garanties applicables.
• CNIL : Autorité française de régulation et de conformité chargée de veiller au respect des règles de protection des données, notamment via des contrôles et sanctions.

📝 Points essentiels

• Le cadre de protection des données peut prévoir des restrictions d’accès, sous contrôle de la CNIL et dans le respect des règles applicables.
• La CNIL a une mission de régulation et de conformité qui s’est renforcée avec le RGPD, avec une logique d’accompagnement et de prévention plutôt que de simple enregistrement.
• La CNIL peut être saisie pour des systèmes de vidéoprotection, ce qui illustre son rôle de contrôle sur des traitements concrets.
• La CNIL dispose aussi d’une mission d’inter-régulation pour coordonner sa position avec d’autres autorités sur des questions mixtes.
• La logique de compliance de la CNIL vise à sécuriser la conformité des traitements en cas d’incertitude sur le niveau de protection requis.
• En cas de traitements impliquant des données sensibles ou des exigences particulières, l’encadrement et la conformité deviennent plus stricts, ce qui impacte la gestion post-mortem.

💡 Astuce mémo

Après décès : directives + encadrement CNIL → accès possible mais contrôlé (compliance RGPD).

📖 9. Limitations des droits par la loi LIL

🔑 Notions clés & Définitions

• Mise en demeure LIL : La mise en demeure est une injonction préalable adressée au responsable de traitement avant sanction, avec un délai de mise en conformité.
• Guichet unique : Le guichet unique est la méthode de coopération entre autorités de contrôle lorsque plusieurs d’entre elles envisagent un contrôle transfrontalier.
• Chef de file de contrôle : Le chef de file est l’autorité de contrôle désignée pour piloter l’opération de contrôle dans le cadre du guichet unique.
• Sanctions administratives RGPD : Les sanctions administratives sont les mesures pécuniaires et correctrices prononcées par les autorités de contrôle en cas de manquement au RGPD.
• Action de groupe LIL : L’action de groupe est une procédure collective prévue par la Loi LIL pour obtenir réparation et faire cesser des manquements de même nature au RGPD ou à la Loi LIL.

📝 Points essentiels

• La sanction n’est prononcée que si un manquement est constaté et n’est pas suivi d’une mise en conformité.
• La mise en demeure comporte toujours un délai de mise en conformité pour le responsable de traitement.
• Les manquements visés sont typiquement limités, comme des oublis ou méfaits portant par exemple sur la conservation, le recueil sans consentement ou la prospection non sollicitée.
• En 2022, environ 22 mises en demeure ont été adressées à des collectivités publiques dépourvues de DPO.
• En contrôle transfrontalier, le guichet unique évite que plusieurs autorités contrôlent les mêmes organismes pour les mêmes violations.
• Les autorités coopèrent sous l’autorité du chef de file et peuvent s’agréger à des procédures en cours en cas de manquements sur leur territoire.

💡 Astuce mémo

Mise en demeure = délai, Guichet unique = une seule autorité pilote.

📖 10. Autorités européennes et rôle du G29

🔑 Notions clés & Définitions

• G29 : Le G29 est l’organe européen de coopération des autorités de protection des données chargé d’harmoniser l’application des règles et de guider les autorités nationales.
• RGPD : Le RGPD est le règlement européen qui encadre la protection des données personnelles, notamment lors des transferts hors de l’Union européenne.
• Transfert de données personnelles : Le transfert de données personnelles est l’opération par laquelle des données sortent du territoire de l’UE, avec un risque de perte de protection et de finalités détournées.
• Lois extra-territoriales : Les lois extra-territoriales sont des règles où un État étend sa compétence législative, exécutive et juridictionnelle à des situations situées hors de son territoire.
• Long arm jurisdiction : La long arm jurisdiction est la logique américaine permettant d’appliquer le droit d’un État à une personne ayant un lien suffisant avec ce droit, même hors du territoire.

📝 Points essentiels

• Le transfert de données est central car il interroge la continuité de la protection offerte par le droit de l’UE une fois les données hors UE.
• Le transfert pose aussi la question de l’usage réel des données lorsque le traitement repose sur un consentement supposé connu par l’utilisateur.
• Un risque majeur est l’accès par un État tiers à des données pour un motif différent de celui de la collecte.
• Les régimes juridiques variant selon les pays augmentent le risque de piratage numérique des données transférées.
• Des palliatifs existent pour limiter les conséquences illicites, comme pare-feu, copies sur serveurs externes non connectés, refus de cookies et solutions d’échange via blockchains non publiques.
• L’extra-territorialité correspond à l’extension de la compétence d’un État à des rapports situés hors de son territoire, y compris en matière juridictionnelle et exécutive.

💡 Astuce mémo

G29 = “harmoniser” : même boussole pour les autorités, surtout quand les données sortent de l’UE.

📖 11. Délégué à la protection des données et indépendance

🔑 Notions clés & Définitions

• Champ territorial du RGPD : Le champ territorial du RGPD permet d’appliquer le règlement aux traitements visant des personnes situées dans l’Union, même si le responsable ou le sous-traitant n’y est pas établi.
• Activité d’un établissement : La notion d’activité d’un établissement sert à rattacher un traitement au droit d’un État membre lorsque les services y sont indissociablement liés à l’activité de l’établissement.
• Guichet unique européen : Le guichet unique est un mécanisme européen de contestation qui centralise la coopération entre autorités de contrôle, notamment pour les entreprises très présentes dans plusieurs États.
• Niveau de protection adéquat : Le niveau de protection adéquat désigne l’exigence d’un standard de protection des données suffisant dans un pays tiers avant tout transfert.
• Décision d’adéquation : La décision d’adéquation est une décision de la Commission qui reconnaît qu’un pays tiers offre un niveau de protection conforme au RGPD.

📝 Points essentiels

• Le RGPD s’applique aux traitements portant sur des personnes situées dans l’Union, même sans établissement du responsable ou du sous-traitant dans l’UE.
• Le RGPD vise notamment deux hypothèses larges : offre de biens ou services à des personnes dans l’UE, ou suivi du comportement de personnes situées dans l’UE lorsque le comportement a lieu dans l’UE.
• La loi française (LIL) s’applique aux traitements réalisés dans le cadre d’activités d’un établissement/responsable/sous-traitant sur le territoire français, même si le traitement n’a pas lieu en France.
• La compatibilité entre les critères de la loi française et ceux du RGPD a été jugée dans l’arrêt du Conseil d’État du 27 juin 2022 « Amazon c. Europe Corp ».
• En l’absence de décision d’adéquation, le transfert vers un pays tiers est en principe illicite, sauf recours à des garanties appropriées ou à des dérogations prévues.
• Les garanties appropriées (art. 46 RGPD) exigent notamment des droits opposables et des voies de droit effectives, et peuvent reposer sur consentement, contrat, intérêt public, intérêt vital, ou registre public selon les

💡 Astuce mémo

RGPD = « Personnes dans l’UE » (même sans siège) ; Transfert = « Adéquation ou garanties ».

📖 12. Sanctions, infractions et transferts internationaux

🔑 Notions clés & Définitions

• Décision d’adéquation : Décision de la Commission Européenne qui reconnaît qu’un pays tiers offre un niveau de protection des données personnelles essentiellement équivalent à celui de l’UE.
• Safe Harbor : Accord volontaire encadrant les transferts de données UE→États-Unis, validé par une décision de la Commission le 26 juillet 2000.
• Privacy Shield : Accord UE–États-Unis adopté en 2016 comme solution de remplacement au Safe Harbor pour autoriser des transferts de données vers les États-Unis.
• Arrêt SCHREMS I : Décision de la CJUE du 6 octobre 2015 qui annule l’adéquation fondée sur le Safe Harbor et remet en cause l’accès des autorités américaines.
• DPRC : Organe prévu par l’Executive Order américain n°14086 du 7 octobre 2022, chargé de la protection/contrôle des données utilisées par la NSA.

📝 Points essentiels

• Le Safe Harbor (décision du 26 juillet 2000) prévoyait notamment une possibilité d’opposition au transfert, un consentement express pour les données sensibles, un droit de rectification et des mesures de sécurisation.
• L’arrêt SCHREMS I (6 octobre 2015) annule le Safe Harbor notamment parce que la décision de 2000 contenait une dérogation permettant des ingérences liées à la sécurité nationale et parce qu’elle ne garantissait pas de ré
• Le Privacy Shield est adopté par une décision de la Commission du 12 juillet 2016 pour rétablir un cadre d’adéquation avant l’entrée en vigueur du RGPD.
• Le Privacy Shield est critiqué (notamment par le CEPD) pour des garanties américaines jugées insuffisantes, un médiateur sans pouvoirs réels, et des contrôles/recertifications jugés trop peu rigoureux.
• La CJUE (16 juillet 2020) annule l’adéquation du Privacy Shield en jugeant incompatible avec le droit de l’UE l’accès des autorités (NSA/CIA) fondé sur des accords autorisant la récupération de données d’étrangers stocké
• Le Conseil d’État (13 octobre 2020) reprend l’analyse en estimant que le niveau de protection des droits européens ne satisfait pas les exigences de la Charte des droits fondamentaux de l’UE, en lien avec la dérogation.

💡 Astuce mémo

Safe Harbor → SCHREMS I : dérogation + pas de protection juridique = KO ; Privacy Shield → SCHREMS II : NSA/CIA + stockage US = KO ; 2022 DPRC → nouvelle adéquation.

📅 Repères chronologiques

📊 Tableaux de synthèse

Bases légales et effets sur les droits

Contrôle et sanctions CNIL : logique et finalité

⚠️ Pièges & confusions fréquents

1. Confondre la donnée et le traitement : la donnée seule n’a pas d’utilité juridique, c’est le traitement qui permet l’usage et déclenche l’encadrement.
2. Croire que le RGPD supprime toutes les déclarations : il remplace largement le système déclaratif, mais maintient des effets des anciennes déclarations pendant 10 ans (art. 31) et prévoit des exceptions (Police-Justice,s
3. Mélanger droit d’opposition et droit à la limitation : opposition = stop du traitement (sauf motifs impérieux), limitation = pause en cas de doute sur exactitude/licéité ou sur nécessité.
4. Penser que l’intérêt légitime est une base « par défaut » : il exige légitimité, nécessité et respect des droits (strictement nécessaire selon la CJUE « META »).
5. Oublier que l’obligation de conformité pèse aussi sur le sous-traitant (art. 28) et que le responsable doit démontrer la conformité à tout moment (accountability).
6. Croire que le droit à l’effacement vaut toujours : il existe des dérogations (obligation légale, archives, défense de droits en justice, etc.) et un équilibre avec la liberté d’information.
7. Confondre sanctions administratives et sanctions pénales : la CNIL relève du régime administratif (avec recours), tandis que le pénal vise des infractions spécifiques (ex. accès frauduleux à un STAD).

✅ Checklist Examen

1. Identifier les trois perspectives du cours (juridique, technologique, économique) et expliquer le rôle de la Convention 108, du RGPD et de la Directive Police-Justice dans la protection des données personnelles.
2. Donner la définition administrative de la donnée (représentation informatique) et relier la digitalisation à l’essor du Big Data et aux enjeux de droit à la vie privée.
3. Expliquer le régime Open Data (directive 2019) : principe par défaut favorable à l’accès/réutilisation et gratuité sauf coûts marginaux, puis distinguer données personnelles vs non personnelles.
4. Décrire l’évolution historique de la protection (années 1960-1970, fichiers, projet « Safari », rapport du Conseil d’État 1977, LIL 1978) et le passage du système déclaratif au paradigme RGPD.
5. Expliquer le principe d’accountability : responsabilité dès la collecte, documentation de la conformité, registre des activités (art. 30) et mesures techniques/organisationnelles (art. 24).
6. Maîtriser les bases légales du traitement (art. 6 RGPD) et leurs effets : consentement, contrat, obligation légale, intérêts vitaux, intérêt légitime (conditions), mission d’intérêt public (texte requis).
7. Présenter les droits des personnes dans l’ordre du cours : opposition, limitation, effacement/oubli, portabilité, et préciser les limites (prospection commerciale, données interdites type opinions politiques/religieuses/
8. Expliquer le régime spécifique des traitements liés à la justice/police : limitation des droits, rôle du procureur/JLD, article R. 40-31 CPP, absence de droit d’opposition, effacement après 20 ans et cas des victimes.
9. Exposer la logique « mort numérique » : directives après décès, enregistrement auprès d’un tiers de confiance certifié par la CNIL, révocabilité/modifiabilité et articulation avec l’exercice des droits.
10. Décrire les autorités : G29 (rôle doctrinal et préparation du RGPD), CEPD (missions et contrôle de cohérence), CNIL (missions de régulation/compliance) et DPO (missions, indépendance, cas d’obligation).
11. Connaître le régime de contrôle/sanction CNIL : contrôle interne, mise en demeure (délai de mise en conformité), guichet unique (chef de file), et principes de fixation des amendes (effectives, proportionnées, dissuas
12. Savoir traiter le transfert hors UE : champ territorial (art. 3 RGPD), exigence de niveau de protection adéquat, mécanismes (décision d’adéquation, garanties art. 46, BCR art. 47, clauses types) et chronologie Safe Harb