RGPD: Vue d'ensemble et champ d'application

Questions and Answers

Quelle est la principale transformation du droit de la protection des données en France suite à l'adoption du RGPD ?

• Passage d'un régime de conformité globale à un régime de formalités préalables.
• Suppression de toute obligation de déclaration auprès de la CNIL.
• Uniformisation des sanctions financières pour toutes les entreprises.
• Basculement d’un régime administratif de formalités préalables à un régime de conformité globale. (correct)

Quelles sont les sanctions possibles pour non-respect du RGPD, selon le texte?

• Seulement l'obligation de suivre une formation sur la protection des données.
• La suspension temporaire d'activité.
• Uniquement des avertissements publics.
• Amendes et interdiction de collecter et traiter les données. (correct)

Qu'est-ce qu'une donnée à caractère personnel selon le RGPD?

• Les données de navigation internet, à l'exclusion de toute autre information.
• Toute information se rapportant à une personne physique identifiée ou identifiable. (correct)
• Uniquement le nom et prénom d'une personne physique.
• Toute information relative à une entreprise, comme son numéro de SIRET.

Dans quel cas le RGPD ne s'applique-t-il pas?

Lorsque les données sont recueillies dans le cadre privé et sans finalité commerciale. (C)

Comment le RGPD assure-t-il un niveau de protection des données équivalent, quel que soit le lieu de traitement?

En dotant le RGPD d'un effet territorial qui s'étend au-delà des frontières européennes. (B)

Quel est l'enjeu principal pour une entreprise en matière de RGPD?

Éviter les sanctions financières et respecter la loi. (B)

Pourquoi la conformité au RGPD est-elle devenue un enjeu commercial?

Car elle est de plus en plus exigée comme prérequis dans les appels d'offres. (B)

Comment une entreprise peut-elle améliorer son image de marque grâce au RGPD?

En démontrant son engagement envers la protection de la vie privée et la conformité. (C)

Dans quel cas une Analyse d'Impact sur la Protection des Données (AIPD) est-elle requise?

Lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. (D)

Quels aspects sont évalués lors d'une Analyse d'Impact sur la Protection des Données (AIPD)?

Les aspects techniques et opérationnels, la nécessité et proportionnalité juridique, ainsi que les risques sur la sécurité des données. (B)

Quel est l'objectif principal de la mise en place du principe d'accountability?

Prouver que des mesures adéquates ont été adoptées pour être en conformité avec le RGPD. (D)

À qui incombe la responsabilité de mettre en œuvre le principe d'accountability?

Au responsable du traitement. (B)

Qu'est-ce que le Privacy by Design?

Un principe qui impose d'intégrer la protection des données dès la conception des projets. (D)

Parmi les propositions suivantes, laquelle ne fait pas partie des fondements du Privacy by Design?

Sécurité et protection de la vie privée pendant une durée limitée. (B)

Qui est le responsable du traitement au sens du RGPD?

L'entreprise ou l'organisme qui décide de la mise en œuvre d'un traitement et en assume la responsabilité. (B)

Quelle est la définition d'un sous-traitant selon le RGPD?

La personne morale qui traite des données à caractère personnel pour le compte du responsable du traitement. (C)

Quel est le rôle principal du Délégué à la Protection des Données (DPO)?

Être l'acteur central de la conformité au RGPD. (C)

Qu'est-ce qu'un destinataire des données au sens du RGPD?

La personne, le service ou la direction qui reçoit communication des données de manière habituelle et autorisée. (C)

Qu'est-ce qu'une donnée sensible selon le RGPD?

Les informations qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques. (B)

Dans quel cas est-il nécessaire de solliciter une autorisation auprès de la CNIL avant la mise en œuvre d'un traitement de données personnelles?

Pour les traitements informatiques de données personnelles qui présentent des risques particuliers d'atteinte aux droits et aux libertés. (A)

Qu'est-ce que le principe de finalité en matière de protection des données?

Le fait de ne collecter les données que pour un usage déterminé et légitime. (D)

Quel est le principe de proportionnalité en matière de données personnelles?

Enregistrer uniquement les informations pertinentes et nécessaires pour la finalité du traitement. (B)

Quelle est la durée de conservation maximale des données recueillies via des cookies lors de la navigation sur un site web?

13 mois. (C)

Quelles sont les obligations du responsable du traitement des données en matière de sécurité et confidentialité?

Mettre en place des mesures de sécurité physiques et logiques pour garantir la confidentialité des données. (B)

Quel est le droit de regard (droit à l'information) en matière de protection des données?

Le droit de savoir si l'on est répertorié dans un fichier et d'obtenir des informations sur le traitement de ses données. (A)

Qu'est-ce que le droit de rectification?

Le droit de faire actualiser ou supprimer des informations inexactes la concernant. (A)

Dans quel cas une organisation peut-elle refuser de donner suite à une demande d'opposition au traitement des données?

Si des motifs légitimes et impérieux lui imposent de continuer à traiter les données malgré la demande. (D)

Qu'est-ce que le droit de retrait?

La possibilité de faire effacer certaines données personnelles présentes sur le web si on le souhaite. (A)

Comment le RGPD définit-il le consentement?

Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne accepte le traitement de ses données. (B)

Dans quel cas le consentement n'est-il pas obligatoirement requis pour le traitement de données personnelles?

Pour la collecte de données par l'administration fiscale. (A)

Quelles sont les conditions pour qu'un consentement soit considéré comme libre?

La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. (C)

Qu'est-ce qu'un consentement spécifique?

Un consentement qui correspond à un seul traitement et pour une finalité déterminée. (A)

Quelles informations doivent être communiquées à la personne pour recueillir un consentement éclairé?

L'identité du responsable du traitement, les finalités poursuivies, les catégories de données collectées, et l'existence d'un droit de retrait. (D)

Qu'est-ce qu'un consentement univoque?

Un consentement donné par une déclaration ou tout autre acte positif clair, sans ambiguïté. (D)

Quel âge un enfant doit-il avoir en France pour consentir seul au traitement de ses données dans le cadre des services de la société d'information (réseaux sociaux, etc.)?

15 ans. (D)

Comment le RGPD définit-il une violation de données?

Une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles. (A)

Quel est le délai maximal pour notifier une violation de données personnelles à la CNIL?

72 heures après en avoir pris connaissance, si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. (A)

Quel est le rôle de la CNIL?

Protéger les données personnelles et la vie privée dans le contexte de l'utilisation des technologies de l'information et de la communication. (B)

Que peut faire la CNIL en cas de non-conformité au RGPD?

Infliger des sanctions, telles que des avertissements, des amendes administratives, voire des interdictions de traitement de données. (C)

Quel est le rôle de la loi « Informatique et Libertés »?

Préciser les principes et les modalités du traitement informatique de données à caractère personnel. (A)

Quelle est la responsabilité d'un dirigeant d'organisation en vertu de la loi « Informatique et Libertés »?

Il est responsable s'il ne met pas en œuvre les mesures adéquates pour préserver la sécurité des données à caractère personnel contenues dans son système informatique. (D)

Flashcards

RGPD (Définition)

Règlement européen sur la protection des données, applicable depuis le 25 mai 2018.

Sanctions RGPD

Amendes et interdiction de collecter/traiter les données.

Données personnelles

Toute information se rapportant à une personne physique identifiée ou identifiable.

Données anonymisées

Données exclues car elles ne permettent pas d'identifier une personne physique.

Enjeu juridique du RGPD

Obligation de se conformer pour respecter la loi et éviter les amendes.

Enjeu éthique du RGPD

Prouve l’importance accordée à la protection de la vie privée et œuvre pour un monde plus éthique.

Enjeu commercial du RGPD

Obligation de fournir des preuves de conformité RGPD dans les appels d’offres et négociations.

Enjeu de communication du RGPD

Se targuer d’être conforme pour construire une meilleure image de marque.

Analyse d'impact (AIPD)

Étude menée lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé.

Accountability (Définition)

Respect des valeurs et des pratiques nécessaires à la protection des données.

Privacy by Design (Définition)

Intégrer la protection des données dès la conception des projets.

Responsable du traitement

Personne qui détermine les finalités et les moyens du traitement des données.

Sous-traitant (RGPD)

Personne qui traite des données pour le compte du responsable du traitement.

Délégué à la protection des données (DPO)

Acteur central de la conformité au RGPD.

Destinataire (RGPD)

Personne qui reçoit communication des données.

Définition d'une donnée personnelle.

Information se rapportant à personne physique identifiée ou identifiable.

Définition d'une donnée sensible.

Informations révélant l'origine raciale, opinions politiques, convictions religieuses, etc.

Principe de finalité (RGPD)

Les données personnelles ne peuvent être recueillies et traitées que pour un usage déterminé et légitime.

Principe de proportionnalité des données

Seules doivent être enregistrées les informations pertinentes et nécessaires pour leur finalité.

Principe de pertinence des données

Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis.

Principe de durée limitée de conservation des données

Les informations ne peuvent être conservées de façon indéfinie.

Principe de sécurité et de confidentialité

Le responsable du traitement des données personnelles est astreint à une obligation de sécurité.

Principe de transparence

Le responsable du traitement doit avertir les personnes dont les données sont recueillies.

Principe du respect du droit des personnes.

Informer de la finalité, des destinataires, et des droits des personnes.

Droit de regard (droit à l’information)

Droit de savoir si on est répertorié dans un fichier et quelles informations sont détenues.

Droit d'accès (RGPD)

Droit d'interroger le responsable pour savoir quelles informations sont détenues.

Droit de rectification (RGPD)

Droit de faire actualiser ou supprimer des informations incorrectes.

Le droit d’opposition

Droit de s'opposer à apparaître sur un fichier, sauf exceptions.

Droit de retrait (RGPD)

Possibilité de faire effacer certaines données personnelles présentes sur le web.

Consentement (RGPD)

Manifestation de volonté, libre, spécifique, éclairée et univoque.

Consentement libre

Accord sans contrainte, avec un choix réel offert.

Consentement spécifique

Consentement correspondant à un seul traitement et finalité déterminée.

Consentement éclairé

Consentement accompagné d'informations claires préalables.

Consentement univoque

Consentement donné par une déclaration ou acte positif clair.

Consentement des mineurs (France)

Âge à partir duquel un mineur peut consentir seul (France).

Violation de données

Violation de la sécurité entraînant la destruction, la perte, etc. des données.

Rôle de la CNIL

Autorité administrative indépendante chargée de protéger les données personnelles en France.

Notification à la CNIL

Informer la CNIL rapidement en cas de violation de données.

Protection des données personnelles (CNIL)

Émet des recommandations et des lignes directrices.

Information et sensibilisation (CNIL)

Informe le public sur les droits et les risques liés à la protection des données personnelles.

Contrôle et sanction (CNIL)

Surveille le respect des règles et peut infliger des sanctions.

Study Notes

Définition Générale du RGPD

• Le Règlement Général sur la Protection des Données (RGPD) a été adopté le 27 avril 2016 et est applicable en France depuis le 25 mai 2018.
• Le RGPD transforme le régime administratif en un régime de conformité globale, obligeant les entreprises à prouver leur respect des principes du règlement à tout moment.
• En 2022, des sanctions s'élevant à plus de 830 millions d'euros ont été prononcées contre des géants du web.
• Les sanctions peuvent inclure des amendes et l'interdiction de collecter et traiter des données.

Champ d'Application Matériel

• Les "données à caractère personnel" désignent toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement.
• Cela inclut :
  • Noms
  • Numéros d'identification
  • Données de localisation
  • Identifiants en ligne
  • Éléments spécifiques à l'identité physique, psychologique, génétique, psychique, économique, culturelle ou sociale
• Les données relatives aux personnes morales sont exclues, sauf si elles permettent d'identifier une personne physique.
• Les données anonymisées et celles recueillies dans un cadre privé sans finalité commerciale sont également exclues.

Champ d'Application Géographique

• Le RGPD s'applique aux organismes établis en Europe, mais aussi à ceux en dehors, si des données de citoyens européens sont traitées, quel que soit le lieu de traitement.
• L'objectif est d'assurer une protection équivalente des données, quel que soit le lieu de traitement.
• Exemple : Des données collectées en Allemagne par Zalando peuvent être exploitées par un site marchand en Chine.

Les Enjeux du RGPD

• Juridique : Conformité obligatoire pour éviter des amendes pouvant atteindre 4% du chiffre d'affaires.
• Éthique : Réponse à la question "Qui a le droit de savoir quoi sur qui ?", soulignant l'importance de la protection de la vie privée.
• Commercial : Nécessité de prouver la conformité RGPD dans les appels d'offres, affectant le choix des sous-traitants.
• Communication : Opportunité de se distinguer en démontrant une conformité réelle pour améliorer l'image de marque.

Notions Fondamentales

• Analyse d'Impact (AIPD) : Étude obligatoire pour les traitements de données susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes.
  • Description détaillée du traitement (technique et opérationnelle)
  • Évaluation de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données, conservation, etc.)
  • Étude des risques sur la sécurité des données (confidentialité, intégrité, disponibilité) et leurs impacts potentiels sur la vie privée
• Accountability : Obligation de mettre en œuvre des procédures internes pour démontrer le respect des règles de protection des données.
  • Objectif : Prouver l'adoption de mesures adéquates pour la conformité au RGPD.
  • Documentation essentielle pour les vérifications des instances de contrôle.
  • Le responsable du traitement est chargé de l'application du principe d'accountability (Article 5-2).
• Privacy by Design : Intégration de la protection des données dès la conception des projets (Article 25 du RGPD).
  • Repose sur sept fondements :
    • Mesures préventives
    • Protection par défaut
    • Protection dès la conception
    • Sécurité tout au long du projet
    • Visibilité et transparence
    • Respect de la vie privée
    • Protection optimale

Les Acteurs

• Responsable du traitement : Personne physique ou morale qui détermine les finalités et les moyens du traitement.
• Sous-traitant : Traite les données à caractère personnel pour le compte du responsable du traitement (Article 4,8° du RGPD).
  • Différent du destinataire, car il n'est pas autorisé à utiliser les données pour son propre compte.
• Délégué à la Protection des Données (DPO) : Acteur central de la conformité au RGPD.
  • Les responsables du traitement ou sous-traitants non établis en Europe doivent désigner un représentant.
  • Mandat écrit faisant du représentant le point de contact pour les autorités et les personnes concernées (Article 27).
• Destinataire : Personne physique ou morale qui reçoit communication des données (Article 4, 9°).
  • Autorisé par le responsable du traitement, selon le principe du moindre privilège et formalisé dans une politique de gestion d'accès.
  • Les autorités publiques dans le cadre d'une mission d'enquête particulière ne sont pas considérées comme des destinataires.

Législation Imposée par le RGPD

• Définition d'une donnée personnelle : Information se rapportant à une personne physique identifiée ou identifiable.
• Définition d'une donnée sensible : Informations révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, et les données biométriques.
  • Certaines informations sensibles ne doivent pas figurer dans les fichiers, sauf exceptions légales ou autorisation de la CNIL.
• Obligations lors de la collecte et du traitement :
  • Autorisation de la CNIL pour les traitements présentant des risques particuliers.
  • Principe de finalité : Usage déterminé et légitime.
  • Principe de proportionnalité : Collecte des informations pertinentes et nécessaires.
  • Principe de pertinence : Données adéquates, pertinentes et non excessives.
  • Principe de durée limitée de conservation : Durée définie en fonction de la finalité.
  • Principe de sécurité et de confidentialité : Mesures physiques et logiques pour garantir la confidentialité.
  • Principe de transparence : Avertissement des personnes dont les données sont recueillies.
  • Principe du respect du droit des personnes : Information sur la finalité, le caractère obligatoire, les destinataires, et les modalités d'exercice des droits.

Droits des Personnes

• Droit de regard (droit à l'information) : Droit de savoir si une personne est répertoriée dans un fichier, avec communication des informations essentielles.
• Droit d'accès : Droit d'interroger le responsable pour savoir s'il détient des informations sur la personne et d'obtenir communication de ces informations.
• Droit de rectification : Droit de faire actualiser ou supprimer des informations.
  • Preuve d'identité peut être demandée en cas de doutes raisonnables.
• Droit d'opposition : Droit de s'opposer à figurer dans un fichier, sauf exceptions légales.
  • L'organisme doit justifier des motifs légitimes et impérieux pour continuer à traiter les données.
• Droit de retrait : Possibilité de faire effacer certaines données personnelles présentes sur le web.
  • Le retrait du consentement doit être aussi simple que le recueil initial.

Le Consentement

• Définition : Manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne accepte le traitement de ses données.
• Le responsable de traitement doit pouvoir démontrer la validité du recours au consentement.
• Le consentement n'est pas toujours obligatoire (ex : administration fiscale).
• Il est systématiquement requis pour le démarchage commercial.

Conditions du Consentement

• Libre : Non contraint ni influencé, offrant un choix réel sans conséquences négatives en cas de refus.
• Spécifique : Correspond à un seul traitement et pour une finalité déterminée.
  • Les personnes doivent pouvoir consentir indépendamment pour chaque finalité.
• Éclairé : Accompagné d'informations communiquées avant de consentir (identité du responsable, finalités, catégories de données, droit de retrait, etc.).
• Univoque : Exprimé par une déclaration ou un acte positif clair, sans ambiguïté.
• Modalités non univoques : Cases pré-cochées, consentements groupés, inaction.

Consentement des Mineurs

• Pour les services de la société de l'information, le consentement de l'enfant est licite à partir de 16 ans.
• En dessous de 16 ans, le consentement doit être donné ou autorisé par le titulaire de la responsabilité parentale.
• La loi française fixe cet âge à 15 ans (consentement conjoint de l'enfant et du titulaire de l'autorité parentale en dessous de cet âge).

Contrôle des Organisations

• Violation de données : Violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux données (Article 4 alinéa 12 du RGPD).
• Inclut les actes intentionnels et non intentionnels (perte de supports, etc.).
• Exemples : Fuite de données Améli, perte clé USB JO 2024.
• Statistiques 2023 :
  • 30 000 sites piratés quotidiennement mondialement.
  • 71% des violations en ligne motivées par des gains financiers.
  • Coût des rançongiciels : 416 millions de dollars (semestre 2021).
  • Attaque de rançongiciel toutes les 11 secondes (2021).
  • Plus grande cyberattaque : 3 milliards de comptes Yahoo (2013).
  • 500 000 identifiants Zoom vendus sur le Dark Web (2020).

Rôle de la CNIL

• Autorité administrative indépendante chargée de protéger les données personnelles et la vie privée en France.
• En cas de violation de données, le responsable du traitement doit informer la CNIL dans les 72 heures (sauf si absence de risque).
• Missions :
  • Protection des données personnelles : Veille à la conformité légale et transparente.
  • Information et sensibilisation : Sensibilisation du public aux risques et droits.
  • Contrôle et sanction : Surveillance du respect des règles, contrôles, audits, sanctions.
  • Assistance et conseil : Accompagnement des entreprises et des particuliers.

Rôle de la Loi « Informatique et Libertés »

• Précise les principes et modalités du traitement informatique des données personnelles (loi du 6 janvier 1978, modifiée en 2004).
• Le dirigeant est responsable de la sécurité des données contenues dans le système informatique(Article 34).