📋 Table des matières interactive

Cours
RGPD

Règlement Général sur la Protection des Données — Règlement UE 2016/679 du 27 avril 2016. Applicable depuis le 25 mai 2018.

0 Parties
0 Articles
0 Droits
0 États-membres
Structure du cours

Les 5 parties essentielles

Navigation rapide vers chaque grande section du cours. Cliquez pour accéder au contenu détaillé.

Partie I
Introduction générale au RGPD
Définitions Données personnelles Données sensibles Exaoctets / Zettaoctets Identification
Concepts fondamentaux — Pourquoi protéger nos données?
Partie II
Les principes essentiels du RGPD
Art. 4.2 — Traitement Anonymisation Pseudonymisation Accountability Compliance
Acteurs clés · RT · Sous-traitant · Personne concernée
Partie III
Les acteurs du RGPD et leurs responsabilités
Finalité Minimisation Consentement Cookies Droits (Art. 12–22) Sous-traitant
Licéité · Transparence · 8 droits fondamentaux
Partie IV
La mise en conformité (Privacy by Design)
7 piliers PbD Privacy by Default Registre Art. 30 PIA / AIPD DPO Certification
Analyse des risques · Gravité × vraisemblance
Partie V
Sécurisation du traitement
Menaces Vulnérabilités Authentification Firewall / Logs RSSI Art. 33
Mesures techniques & organisationnelles · Registre des failles
Lecteur de Cours

Support de cours RGPD

Consultez l'intégralité du support de cours en format interactif. Utilisez les flèches pour naviguer entre les diapositives.

1 / 54
0/0
Partie I

Introduction générale au RGPD

Découvrez les fondamentaux du RGPD et pourquoi la protection des données est cruciale.

Qu'est-ce que le RGPD ?

Acronyme de Règlement Général sur la Protection des Données, le RGPD (Règlement UE 2016/679 du 27 avril 2016) est la loi européenne encadrant la protection des données personnelles. Elle est applicable dans les 27 États-membres de l'Union Européenne et s'applique à toutes les organisations qui traitent des données de résidents européens.

Son objectif principal est de redonner aux citoyens le contrôle de leurs données, d'imposer transparence, sécurité et responsabilisation aux organisations. Entré en application le 25 mai 2018, le RGPD remplace la Directive 95/46/CE et renforce considérablement les droits des personnes et les obligations des entreprises.

Pourquoi un RGPD ?

L'explosion des données est vertigineuse : entre le début de la civilisation et 2003, 5 exaoctets de données ont été produits (soit 5 000 milliards de gigaoctets). En 2003, cette masse était générée tous les deux jours. On estime qu'en 2025, le volume de données générées dépassera les 180 zettaoctets.

Plus on stocke d'informations à caractère personnel, plus on a de responsabilités. Le RGPD s'applique dès qu'une donnée permet d'identifier directement ou indirectement une personne sur le territoire de l'UE.

Les grandes notions

  • Donnée : une information
  • Donnée personnelle : une information sur une personne
  • Donnée personnelle sensible : une information très intime ou à risque (santé, religion, biométrie, etc.)

Certaines données permettent une identification directe à une personne (nom, prénom) et d'autres une identification indirecte (adresse IP, plaque d'immatriculation). Même en cas d'identification indirecte, ça devient une donnée personnelle soumise au RGPD.

Pourquoi protéger nos données personnelles ?

  • Éviter toute usurpation d'identité
  • Protéger son argent (achats frauduleux, comptes piratés)
  • Éviter les arnaques et le phishing
  • Protéger notre vie privée
  • Éviter les discriminations
  • Protéger notre réputation professionnelle et sociale
  • Obliger les entreprises à respecter la loi
  • Protéger les autres (responsabilité professionnelle)
Partie II

Les principes essentiels du RGPD

Découvrez les principes fondamentaux régissant le traitement des données.

Article 4.2 : Définition du traitement

Constitue un traitement : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement, l'interconnexion, la limitation, l'effacement ou la destruction. »

Définition très large : dès qu'une entreprise touche à des données personnelles via un de ces procédés = soumis au RGPD.

Anonymisation vs Pseudonymisation

Anonymisation : suppression irréversible du caractère identifiant → sort du champ RGPD. C'est compliqué d'anonymiser et de conserver la capacité d'analyse.

Pseudonymisation : remplacement par un pseudonyme + table de correspondance secrète → reste soumis au RGPD. Les risques en cas de fuite sont moindres. Peut utiliser un algorithme de hachage (sorte de chiffrement irréversible).

Les acteurs clés du RGPD

Responsable du traitement (RT) : l'acteur qui décide du pourquoi et du comment. C'est généralement l'entreprise qui collecte les données.

Sous-traitant (ST) : traite les données pour le compte du responsable. Doit respecter les instructions du RT.

Personne concernée : la personne à qui les données se rapportent. C'est elle qui possède les données.

Accountability et Compliance

Accountability : capacité à démontrer ex ante le respect du RGPD. La charge de la preuve incombe au RT.

Compliance : processus continus mis en œuvre pour rester en conformité. Pas de demande d'autorisation préalable, mais une logique de conformité continue.

Partie III

Les acteurs du RGPD et leurs responsabilités

Comprenez les obligations de chaque acteur et les droits des personnes concernées.

Responsable du traitement : La Licéité

L'entreprise doit s'assurer de la licéité du traitement des données à caractère personnel. Les données doivent être traitées de manière licite, loyale et transparente.

Article 5-b du RGPD : chaque traitement de donnée à caractère personnel doit reposer sur une finalité déterminée, explicite et légitime.

⚠️ Attention : une fois les données collectées pour une finalité précise, on ne peut pas les utiliser pour une autre finalité. C'est une infraction sanctionnée pénalement.

Qualité des données : Minimisation

On ne collecte pas de données dont on n'a pas besoin. On limite à ce qui est indispensable à la poursuite de la finalité.

Le responsable doit :

  • Identifier les données strictement nécessaires
  • Éviter toute collecte supplémentaire

Transparence et Information

L'information donnée doit être claire, intelligible et accessible pour que les personnes concernées comprennent les finalités de l'entreprise.

Information obligatoire à fournir :

  • Identité et coordonnées du responsable
  • Finalité et base légale du traitement
  • Destinataires des données
  • Durée de conservation
  • Droits des personnes concernées
  • Droit de réclamation auprès de l'APD

Le Consentement valide (Art. 4.11)

Le consentement doit être :

  • Libre (retirable à tout moment)
  • Spécifique (finalité précise et déterminée)
  • Éclairé (info claire préalable)
  • Univoque (acte positif, pas de case pré-cochée)

Les Cookies

Un cookie est un petit fichier stocké sur l'ordinateur ou smartphone lors de la visite d'un site web.

Types de cookies :

  • Strictement nécessaires : fonctionnement du site
  • Performance : données anonymes sur la navigation
  • Fonctionnels : choix de l'utilisateur
  • Ciblage/Publicitaires : suivi pour publicités adaptées

Obligation d'information : finalité, données collectées, durée de conservation, droits des utilisateurs.

Les 8 droits des personnes concernées

Chaque personne dont les données sont traitées dispose de ces droits fondamentaux (Articles 12–22):

📢 Droit à l'information

Art. 13–14 : Recevoir une information claire sur le traitement.

🔍 Droit d'accès

Art. 15 : Accéder à ses données dans un délai d'1 mois.

✏️ Droit de rectification

Art. 16 : Corriger ou compléter les données inexactes.

🗑️ Droit à l'effacement

Art. 17 : « Droit à l'oubli » — faire supprimer ses données.

⏸️ Droit à la limitation

Art. 18 : Limiter le traitement de ses données.

✋ Droit d'opposition

Art. 21 : S'opposer au traitement (marketing, profilage).

📦 Droit à la portabilité

Art. 20 : Récupérer ses données dans un format standard.

🤖 Droit anti-profilage

Art. 22 : Ne pas être soumis à une décision automatisée.

Partie IV

La mise en conformité (Privacy by Design)

Découvrez comment mettre en place une conformité RGPD pérenne et efficace.

Les 7 piliers du Privacy by Design

Tout responsable de traitement doit prendre en amont des mesures préventives pour protéger la vie privée :

  1. Proactivité (prévention des risques)
  2. Protection par défaut (niveau maximal)
  3. Protection par construction (intégration dans l'architecture)
  4. Somme positive (prise en compte de tous les intérêts légitimes)
  5. Protection de bout en bout (durant toute conservation)
  6. Visibilité et transparence
  7. Souveraineté de l'individu

Registre des activités de traitement (Art. 30)

Les responsables de traitement doivent garder une trace de toutes les utilisations de données personnelles. Cette liste s'appelle un registre de traitement.

Le registre permet de montrer qu'on déploie les mesures de protection appropriées. Il est opposable à l'autorité de la protection des données lors d'une investigation.

Étude d'impact sur la vie privée (PIA)

Si le traitement emporte un risque élevé pour les droits et libertés des personnes, une PIA est obligatoire.

La PIA doit contenir :

  • Description précise des opérations de traitement et finalités
  • Évaluation de la nécessité et proportionnalité
  • Évaluation des risques juridiques, organisationnels, sécurité
  • Mesures envisagées pour faire face aux risques

Analyse des risques

Le risque est estimé en termes de gravité × vraisemblance.

Trois principaux événements à envisager :

  • L'accès illégitime aux données
  • La modification non désirée de données
  • La perte de données

Pour chaque menace, identifier les sources (humaine/non humaine, interne/externe, délibérée/accidentelle).

Le Délégué à la Protection des Données (DPO)

Le DPO est le garant de la conformité des traitements et de la sécurité juridique.

Sa désignation est obligatoire :

  • Si le responsable dépend du secteur public
  • Si l'organisme traite à grande échelle des données sensibles

Conditions essentielles :

  • Ressources suffisantes (humaines, matérielles, financières)
  • Indépendance fonctionnelle (ne peut recevoir d'instructions)
  • Ne peut être licencié ou pénalisé pour l'exercice de ses missions
  • Rend compte au niveau le plus élevé de la direction
Partie V

Sécurisation du traitement

Mettez en place les mesures techniques et organisationnelles indispensables.

Les obligations de sécurité (Art. 24, 28, 32)

Le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour :

  • Empêcher toute diffusion ou accès non autorisé
  • Empêcher toute destruction accidentelle ou illicite
  • Empêcher toute perte ou altération
  • Empêcher toute forme illicite de traitement

Triade de la sécurité informatique

Tout incident peut menacer :

  • Confidentialité : accès non autorisé aux données
  • Intégrité : modification non détectée des données
  • Disponibilité : inaccessibilité des données en temps voulu
  • Traçabilité : incapacité à savoir l'origine des données

Mesures techniques

Sécuriser les accès :

  • Badges, digicodes, vidéosurveillance, biométrie
  • Authentification utilisateur (Login + MDP)
  • Politique de mot de passe rigoureuse (maj, min, chiffres, caractères spéciaux)
  • Authentification multifacteurs pour risques élevés
  • Mots de passe individuels changés régulièrement

Sauvegardes :

  • Effectuer régulièrement les BACK UP
  • Stocker dans un lieu sécurisé (idéalement lieu physique différent)
  • Tester régulièrement les sauvegardes

Sécuriser le réseau :

  • Firewall et routeur filtrant
  • Journaliser et tracer toutes les actions
  • Mise à jour régulière des droits d'accès
  • Antivirus à jour

Mesures organisationnelles

Governance données :

  • Élaborer un référentiel de sécurité complet
  • Privacy by Design dans tous les processus
  • Mener des études d'impact (PIA) et tests d'intrusion
  • Tenir un registre des failles de sécurité (Art. 33)

Ressources humaines :

  • 90% des risques relèvent des facteurs humains
  • Former et sensibiliser régulièrement le personnel
  • Mettre en place une charte utilisateur
  • Nommer un RSSI (Responsable Sécurité Systèmes d'Information)

Notification des violations (Art. 33)

Tout incident portant atteinte aux droits et libertés des personnes doit être :

  • Notifié à l'APD dans un délai de 72 heures
  • Signalé aux personnes concernées (sauf risque faible)
  • Enregistré dans un registre des failles

Le registre des failles inclut : date, type d'atteinte, gravité, mesures prises et mesures préventives.

Mots-clés → où chercher

Index thématique complet

Retrouvez instantanément n'importe quel concept. Filtrez par partie ou recherchez par mot-clé.

Tout l'Index
Tout Partie1 Partie2 Partie3 Partie4 Partie5
🔍
Thème clé Localisation Partie
Références légales

Articles essentiels du RGPD

Les articles du règlement à connaître absolument pour l'examen.

Art. 5 — Principes
Grands principes relatifs au traitement
Finalité, minimisation, exactitude, durée limitée, sécurité (licéité, loyauté, transparence).
Art. 4 — Définitions
Définitions fondamentales
§2: Traitement. §4: Profilage. §5: Pseudonymisation. §11: Consentement.
Art. 6 — Base légale
Licéité du traitement
Le traitement n'est licite que si l'une des 6 conditions est remplie (dont le consentement).
Art. 12–22 — Droits
Droits des personnes concernées
Information, accès, rectification, effacement, limitation, portabilité, opposition, profilage.
Art. 24 & 28
Accountability & Sous-traitance
Mesures techniques et organisationnelles appropriées. Responsabilité du RT et du ST.
Art. 30 — Registre
Registre des activités de traitement
Obligation de documentation de tous les traitements effectués par le RT ou le ST.
Art. 32
Sécurité du traitement
Confidentialité, disponibilité, intégrité des systèmes. Procédures de test et d'évaluation.
Art. 33–35
Violations & PIA
Notification des violations à l'APD (72h). Registre des failles. PIA si risque élevé.
Art. 37–39
Délégué à la protection des données
Missions, indépendance, ressources, désignation obligatoire dans certains cas.
Art. 83 — Sanctions
Amendes administratives
Jusqu'à 20 M€ ou 4% du CA mondial (le plus élevé).
20 M€
ou 4% du chiffre d'affaires mondial annuel
72h
délai de notification à l'APD

Sanctions RGPD (Art. 83)

Le montant retenu est le plus élevé des deux. Ces sanctions s'appliquent aux responsables de traitement ET à leurs sous-traitants. Elles peuvent être assorties d'injonctions de mise en conformité.

Délais d'avertissement (Art. 33)

En cas de fuite de données grave, l'organisme doit notifier l'incident à l'APD dans un délai de 72 heures. Il est également tenu d'informer sans délai les personnes concernées des risques encourus et des mesures de protection adoptées.

Art. 12–22

Les 8 droits des personnes concernées

Chaque personne physique dont les données sont traitées dispose de ces droits fondamentaux.

📢
Droit à l'information
Art. 13–14
Recevoir une information claire sur le traitement.
🔍
Droit d'accès
Art. 15
Accéder à ses données dans un délai d'1 mois.
✏️
Droit de rectification
Art. 16
Modifier ou compléter les données inexactes.
🗑️
Droit à l'effacement
Art. 17
« Droit à l'oubli » — faire supprimer ses données.
⏸️
Droit à la limitation
Art. 18
Limiter le traitement de ses données.
📦
Droit à la portabilité
Art. 20
Récupérer ses données dans un format standard.
Droit d'opposition
Art. 21
S'opposer au traitement (marketing, profilage).
🤖
Droit anti-profilage
Art. 22
Ne pas être soumis à une décision automatisée.
Notions clés

Concepts fondamentaux

Les définitions et notions à maîtriser pour l'examen, dans leur ordre logique.

Partie I · Bases
Données personnelles et données sensibles
Une donnée personnelle permet d'identifier directement ou indirectement une personne physique. Les données sensibles (santé, biométrie, religion, origine ethnique…) bénéficient d'une protection renforcée. L'IP est une donnée personnelle par identification indirecte.
Partie II · Technique
Anonymisation vs pseudonymisation
Anonymisation: suppression irréversible du caractère identifiant → sort du champ RGPD. Pseudonymisation: remplacement par un pseudonyme + table de correspondance secrète → reste soumis au RGPD.
Partie II · Gouvernance
Accountability & Compliance
Accountability: capacité à démontrer ex ante le respect du RGPD (charge de la preuve sur le RT). Compliance: processus continus mis en œuvre pour rester en conformité. Pas de demande d'autorisation préalable.
Partie III · Consentement
Le consentement valide (Art. 4.11)
Le consentement doit être libre (retirable), spécifique (finalité précise), éclairé (info claire préalable) et univoque (acte positif, pas de case pré-cochée).
Partie IV · Conception
Privacy by Design — 7 piliers
1. Proactivité · 2. Protection par défaut · 3. Protection par construction · 4. Somme positive · 5. Sécurité de bout en bout · 6. Visibilité & transparence · 7. Souveraineté de l'individu.
Partie V · Sécurité
Triade de la sécurité informatique
Tout incident peut menacer la confidentialité (accès non autorisé), l'intégrité (modification non détectée) ou la disponibilité des données. + traçabilité.
logo gen26 drapeau européen logo fij