RGPD: Définition et Champ d'Application

Questions and Answers

Quelle est la date d'application du RGPD en France?

• 6 janvier 1978
• 27 avril 2016
• 1er janvier 2023
• 25 mai 2018 (correct)

Le RGPD s'applique uniquement aux entreprises établies en Europe.

False (B)

Quel est l'enjeu principal pour une entreprise concernant le RGPD, afin d'éviter des amendes?

Se mettre en conformité

Une amende pour non-conformité au RGPD peut monter jusqu'à ________ du chiffre d'affaires de l'entreprise.

4%

Associez les concepts RGPD à leur description:

Analyse d’impact = Étude des risques élevés pour les droits et libertés des personnes concernées. Accountability = Obligation de démontrer le respect des règles de protection des données. Privacy by Design = Intégration de la protection des données dès la conception des projets.

Qui détermine les finalités et les moyens du traitement des données personnelles?

Le responsable du traitement (B)

Le sous-traitant est autorisé à utiliser les données pour son propre compte.

False (B)

Quel est le rôle principal du Délégué à la Protection des Données (DPD)?

Acteur central de la conformité au RGPD

Le principe du _________ prévoit une limitation des accès des utilisateurs aux seules données strictement nécessaires à l’exercice de leurs missions.

Moindre privilège

Faites correspondre les termes aux définitions correctes:

Donnée personnelle = Information se rapportant à une personne physique identifiée ou identifiable. Donnée sensible = Information révélant l'origine raciale, les opinions politiques, les convictions religieuses, etc.

Lequel de ces éléments n'est pas considéré comme une donnée sensible?

Adresse e-mail (D)

Il est permis de détourner la finalité des données collectées si cela sert un intérêt supérieur.

False (B)

Comment appelle-t-on le droit pour une personne de savoir si elle est répertoriée dans un fichier?

Droit de regard

Toute personne a le droit d'interroger le responsable de la gestion de fichiers afin de savoir si elle détient des informations à son sujet et d’obtenir communication des informations détenues. C'est le ______ ___ _______.

Droit d'accès

Associez le droit à sa définition:

Droit de rectification = Faire actualiser ou supprimer des informations. Droit d’opposition = S’opposer à apparaitre sur un fichier. Droit de retrait = Effacer certaines données personnelles présentes sur le web.

Laquelle des propositions suivantes décrit le mieux le consentement selon le RGPD?

Une manifestation de volonté libre, spécifique, éclairée et univoque (C)

Le consentement est toujours obligatoire pour que l'administration fiscale recueille des données personnelles.

False (B)

Quand le consentement d'un mineur est-il requis pour le traitement de ses données personnelles dans le cadre des services de la société de l'information en France?

En dessous de 15 ans

Une _________ de données est une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles.

Violation

Associez les exemples aux types de violation de données :

Piratage du site de la sécurité sociale = Divulgation non autorisée Perte d'une clé USB contenant des données sensibles = Perte de données

Quel est le délai maximal pour informer la CNIL d'une violation de données personnelles?

72 heures (C)

Le sous-traitant est responsable d'informer la CNIL en cas de violation de données personnelles.

False (B)

Quel est le rôle principal de la CNIL?

Protéger les données personnelles et la vie privée

La CNIL peut infliger des _________, telles que des avertissements, des amendes administratives, voire des interdictions de traitement de données.

Sanctions

Parmi les propositions suivantes, laquelle ne relève PAS des missions de la CNIL ?

Définir les finalités des traitements de données personnelles pour les entreprises (B)

La loi « Informatique et libertés » s'applique uniquement aux données contenues dans un fichier papier.

False (B)

Selon la loi « Informatique et libertés », que doit mettre en œuvre le dirigeant d’une organisation pour préserver la sécurité des données personnelles?

Mesures adéquates

L’article 34 de la loi « Informatique et libertés » précise que le responsable des traitements est tenu de prendre toutes précautions utiles pour empêcher que les données soient _________, _________ ou que des tiers y aient accès.

Déformées, endommagées

Quel est l'objectif principal de la mise en place du principe d'accountability selon le RGPD?

Prouver que les mesures adéquates ont été adoptées pour être en conformité avec le RGPD (C)

Le principe de Privacy by Design implique de mettre en place des mesures correctives après une violation de données.

False (B)

Comment appelle-t-on la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement?

Sous-traitant

Le _________, dans le contexte du RGPD, est la personne physique ou morale qui reçoit communication de données à caractère personnel.

Destinataire

La CNIL est :

Une autorité administrative indépendante (A)

La désignation d'un représentant sur le territoire de l'Union Européenne est facultative pour les responsables du traitement non établis en Europe mais rentrant dans le champ d'application du RGPD.

False (B)

Quel article du RGPD prévoit le principe de « privacy by design »?

Article 25

En cas de non-conformité au RGPD, la CNIL peut infliger des amendes _________.

Administratives

Associez chaque principe du RGPD à sa description :

Principe de finalité = Les données ne peuvent être recueillies que pour un usage déterminé et légitime. Principe de proportionnalité = Seules les informations pertinentes et nécessaires à la finalité doivent être enregistrées. Principe de pertinence des données = Les données doivent être adéquates, pertinentes et non excessives au regard des objectifs. Principe de durée limitée de conservation des données = Les informations ne peuvent être conservées indéfiniment.

Selon l'article 4, 9° du RGPD, qui est défini comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers »?

Le destinataire (B)

Le responsable du traitement n'a aucune obligation de sécurité concernant les données personnelles.

False (B)

Dans le cadre du RGPD, quelle est la définition d'une 'donnée personnelle'?

Information se rapportant à une personne physique identifiée ou identifiable

Le consentement doit être donné par une déclaration ou tout autre acte positif _________.

Clair

Flashcards

RGPD (Règlement Général sur la Protection des Données)

Réforme majeure du droit de la protection des données en Europe, applicable en France depuis le 25 mai 2018.

Données à caractère personnel

Informations se rapportant à une personne physique identifiée ou identifiable.

Accountability (Responsabilité)

Obligation de mettre en œuvre des procédures pour démontrer le respect des règles de protection des données.

Privacy by Design

Intégrer la protection des données dès la conception de projets.

Responsable du traitement

Personne qui détermine les finalités et les moyens du traitement des données.

Sous-traitant

Personne qui traite des données pour le compte du responsable du traitement.

Délégué à la Protection des Données (DPO)

Acteur central de la conformité au RGPD.

Destinataire

Personne ou organisme qui reçoit communication des données à caractère personnel.

Données sensibles

Informations qui révèlent l'origine raciale, les opinions politiques, les convictions religieuses, etc.

Principe de Finalité

Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime.

Principe de Proportionnalité

Seules doivent être enregistrées les informations pertinentes et nécessaires pour leur finalité.

Principe de Transparence

Le responsable du traitement doit avertir les personnes dont les données sont recueillies dès leur collecte.

Droit de Regard (Droit à l’information)

Droit de savoir si une personne est répertoriée dans un fichier.

Droit d’Accès

Droit d'interroger le responsable de la gestion de fichiers pour savoir quelles informations il détient.

Droit de Rectification

Droit de faire actualiser ou supprimer des informations inexactes.

Consentement

Manifestation de volonté libre, spécifique, éclairée et univoque d'accepter le traitement des données.

Consentement Libre

Consentement ne doit pas être contraint ni influencé.

Consentement Spécifique

Un consentement doit correspondre à un seul traitement et pour une finalité déterminée.

Consentement Éclairé

Le consentement doit être accompagné d'informations communiquées à la personne avant qu'elle ne consente.

Consentement Univoque

Consentement doit être donné par une déclaration ou tout autre acte positif clairs.

Violation de Données

Violation de la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données.

CNIL (Commission Nationale de l'Informatique et des Libertés)

Autorité administrative indépendante chargée de protéger les données personnelles et la vie privée en France.

Loi Informatique et Libertés

Précise les principes et les modalités du traitement informatique de données à caractère personnel.

Analyse d’impact

Étude qui doit être menée lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Study Notes

Définition Générale du RGPD

• Le Règlement Général sur la Protection des Données (RGPD), Règlement 2016/679, est entré en application en France le 25 mai 2018.
• Le RGPD transforme le régime administratif de formalités préalables en un régime de conformité globale, obligeant les entreprises à démontrer leur respect des principes du Règlement à tout moment.
• En 2022, plus de 830 millions d’euros d'amendes ont été prononcées à l’encontre des géants du web pour non-respect du RGPD.
• Les sanctions comprennent les amendes et l’interdiction de collecter et traiter les données.

Champ d’Application Matériel

• Les « données à caractère personnel » sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.
• Cela inclut les noms, numéros d’identification (numéro de CB, carte identité, CB, num sécurité sociale), données de localisation, ou éléments spécifiques à l’identité physique, psychologique, génétique, économique, culturelle ou sociale.
• Les données relatives aux personnes morales sont exclues, sauf si elles permettent d’identifier une personne physique.
• Les données anonymisées et celles recueillies dans un cadre privé sans finalité commerciale sont également exclues.

Champ d’Application Géographique

• Le RGPD s’applique aux organismes établis en Europe, mais aussi à ceux hors Europe qui traitent des données de résidents européens.
• Il garantit un niveau de protection équivalent des données, quel que soit le lieu de traitement.
• Exemple : Des données recueillies en Allemagne peuvent être exploitées par un site marchand en Chine.

Enjeux du RGPD

• L’enjeu juridique majeur est la conformité obligatoire pour éviter des amendes pouvant atteindre 4% du chiffre d’affaires de l’entreprise.
• Un enjeu éthique se pose, reflétant une considération pour la protection de la vie privée et un engagement envers un monde plus éthique. Le RGPD répond à la question « Qui a le droit de savoir quoi sur qui ? ».
• Au niveau commercial, la conformité au RGPD devient un prérequis dans les appels d’offres, car une entité juridique est responsable des traitements effectués par ses sous-traitants.
• Sur le plan de la communication, prouver sa conformité au RGPD peut améliorer l’image de marque.

Notions Fondamentales

• Une analyse d’impact sur la protection des données (AIPD) doit être menée lorsqu’un traitement de données personnelles présente un risque élevé pour les droits et libertés des personnes.
• L’AIPD comprend une description détaillée du traitement, une évaluation juridique de la nécessité et de la proportionnalité, et une étude technique des risques de sécurité des données.
• L’accountability oblige à mettre en œuvre des procédures pour démontrer le respect des règles de protection des données (article 5-2 du RGPD).
• Le privacy by design (article 25 du RGPD) impose d’intégrer la protection des données dès la conception des projets afin de minimiser les risques de non-conformité.
• Elle repose sur sept fondements : mesures préventives, protection par défaut, protection dès la conception, sécurité tout au long du projet, visibilité et transparence, respect de la vie privée et protection optimale.

Les Acteurs Clés

• Le responsable du traitement détermine les finalités et les moyens du traitement des données.
• Le sous-traitant traite les données pour le compte du responsable du traitement (article 4,8° du RGPD).
• Le délégué à la protection des données (DPO) est un acteur central de la conformité au Règlement.
• Les responsables du traitement ou sous-traitants non établis en Europe doivent désigner un représentant sur le territoire de l’Union européenne (Article 27 du RGPD).
• Le destinataire est la personne physique ou morale qui reçoit communication des données à caractère personnel (article 4, 9°).

Obligations et Principes Clés

• Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
• Les données sensibles incluent les informations révélant l’origine raciale ou ethnique, les opinions politiques et les convictions religieuses (des exceptions sont prévues par la loi ou autorisation de la CNIL).
• Les traitements informatiques de données personnelles à risques particuliers doivent être soumis à autorisation (Exemple : système de vidéosurveillance dans un lieu ouvert au public).
• Le principe de finalité stipule que les données ne peuvent être recueillies que pour un usage déterminé et légitime. Tout détournement de finalité est passible de sanctions pénales
• Le principe de proportionnalité impose de n’enregistrer que les informations pertinentes et nécessaires.
• Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis (principe de pertinence des données).
• Les informations ne peuvent être conservées indéfiniment, une durée de conservation doit être établie (principe de durée limitée de conservation des données).
• Le responsable du traitement des données personnelles est soumis à une obligation de sécurité et de confidentialité (principe de sécurité et de confidentialité).
• Le responsable du traitement doit avertir les personnes dont les données sont recueillies (principe de transparence).
• Les personnes doivent être informées de la finalité du traitement, des droits qui leur sont ouverts (principe du respect du droit des personnes).

Droits des Personnes

• Le droit de regard donne le droit à toute personne de savoir si elle est répertoriée dans un fichier.
• Le droit d’accès permet de savoir si une organisation détient des informations sur une personne et d’en obtenir communication.
• Le droit de rectification permet de faire actualiser ou supprimer des informations.
• Le droit d’opposition donne le droit de s’opposer à apparaître sur un fichier.
• Le droit de retrait donne la possibilité de faire effacer certaines données personnelles présentes sur le web.

Le Consentement

• Le consentement est une manifestation de volonté libre, spécifique, éclairée et univoque par laquelle une personne accepte le traitement de ses données (RGPD).
• Le responsable de traitement doit être en mesure de démontrer la validité du recours au consentement.
• Des cas existent ou le consentement n’est pas obligatoire (l’administration fiscale qui recueille des données personnelles).
• A contrario et toujours à titre d’exemple, le consentement de la personne est systématiquement requis pour certains traitements comme le démarchage par exemple.

Conditions du Consentement

• Libre : Le consentement ne doit pas être contraint ni influencé, offrant un choix réel sans conséquences négatives en cas de refus.
• Spécifique : Un consentement doit correspondre à un seul traitement et pour une finalité déterminée.
• Eclairé : Le consentement, pour être valide, doit être accompagné d’informations communiquées avant que la personne ne consente, incluant l’identité du responsable, les finalités, les catégories de données, l’existence d’un droit de retrait.
• Univoque : Le consentement doit être donné par une déclaration ou acte positif clair, excluant les cases pré-cochées, les consentements groupés et l’inaction.

Consentement des Mineurs

• Pour les services de la société de l’information (réseaux sociaux, plateformes, newsletters, etc.), le consentement fondé sur le consentement n’est licite si l’enfant est âgé d’au moins 16 ans.
• En France, l’âge retenu est de 15 ans : les enfants de 15 ans ou plus peuvent consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information.
• En-dessous de 15 ans, le consentement conjoint de l’enfant et du titulaire de l’autorité parentale est imposé.

Contrôle des Organisations

• Une violation de données est définie comme une violation de la sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de données personnelles (article 4 alinéa 12 du RGPD).
• Statistique : 30 000 sites piratés quotidiennement à l'échelle mondiale, 71 % des violations en ligne sont motivées par des gains financiers.

Rôle de la CNIL

• La CNIL est une autorité administrative indépendante chargée de protéger les données personnelles et la vie privée en France.
• En cas de violation de données, le responsable du traitement doit informer la CNIL dans les meilleurs délais et, si possible, 72 heures au plus tard.
• La CNIL veille à ce que les données personnelles soient traitées de manière légale, loyale et transparente.
• Elle informe le public, effectue des contrôles, inflige des sanctions et fournit une assistance aux entreprises et aux particuliers.

Rôle de la Loi « Informatique et Libertés »

• La loi « Informatique et libertés » du 6 janvier 1978, modifiée en 2004, encadre le traitement informatique des données personnelles contenues dans un fichier informatique.
• L’article 34 précise que « le responsable des traitements est tenu de prendre toutes précautions utiles pour préserver la sécurité des données ».