Лист за преговор: Introduction au RGPD et gestion des données

📋 Plan du Cours

1. Donnée personnelle et champ RGPD
2. Principes fondamentaux du traitement
3. Bases légales du traitement
4. Droits des personnes concernées
5. Cas particuliers du RGPD
6. Profilage et décisions automatisées
7. Responsabilité, accountability et CNIL

📖 1. Donnée personnelle et champ RGPD

🔑 Notions clés & Définitions

• Donnée personnelle : Une donnée personnelle est toute information permettant d’identifier une personne physique, directement ou indirectement.
• Personne physique : Le RGPD vise les êtres humains ; les données concernant une personne morale ne relèvent pas du RGPD.
• Données anonymisées : Les données anonymisées sont modifiées de façon à rendre totalement impossible le retour à l’identité de la personne concernée.
• Données mixtes : Des données mixtes sont un même fichier contenant à la fois des données professionnelles et des données personnelles indissociables.

📝 Points essentiels

• Le RGPD ne protège que les personnes physiques et non les personnes morales, par exemple un numéro SIRET ou un chiffre d’affaires.
• Une donnée indirectement identifiante inclut notamment une adresse IP, un numéro de sécurité sociale, une plaque d’immatriculation ou une géolocalisation.
• Si un fichier contient des données personnelles indissociables de données professionnelles, le RGPD s’applique à l’ensemble du fichier.
• Les données anonymisées doivent être impossibles à relier à une personne, ce qui renvoie à un cadre de circulation des données non-personnelles.
• Le RGPD a une portée territoriale extraterritoriale : il s’applique aux entreprises ciblant directement des résidents européens ou suivant leur comportement, comme via des cookies.

💡 Astuce mémo

Personne physique = RGPD ; société = hors champ.

📖 2. Principes fondamentaux du traitement

🔑 Notions clés & Définitions

• Principe de finalité : Le principe de finalité impose de définir un objectif de traitement précis, explicite et légitime avant de collecter des données.
• Principe de minimisation : Le principe de minimisation impose de ne collecter que les données strictement nécessaires à l’objectif poursuivi.
• Limitation de la conservation : La limitation de la conservation impose une maîtrise dans le temps de l’usage des données, avec un sort final après les délais.

📝 Points essentiels

• Le traitement ne doit pas être mené “au cas où” : la finalité doit être déterminée, communiquée et légitime.
• La minimisation conduit à refuser la collecte non nécessaire, par exemple demander sa profession ou le nombre d’enfants pour vendre des chaussures.
• La conservation se gère en base active, puis en archivage intermédiaire à accès restreint, puis destruction définitive ou anonymisation.
• L’archivage intermédiaire survient après la fin du contrat quand la loi impose de conserver pour des contrôles fiscaux ou des procédures.
• Le principe est sanctionné : une violation expose à de lourdes amendes prévues dans le régime général du RGPD.

💡 Astuce mémo

Finalité claire, données minimales, durée limitée puis destruction ou anonymisation.

📖 3. Bases légales du traitement

🔑 Notions clés & Définitions

• Consentement : Le consentement doit être libre, spécifique, éclairé et univoque, par un acte positif clair sans case pré-cochée.
• Exécution d’un contrat : L’exécution d’un contrat est une base légale permettant de traiter les données nécessaires pour fournir la prestation promise.
• Intérêt légitime : L’intérêt légitime autorise un traitement lié à un besoin commercial ou de sécurité logique, sous réserve de ne pas léser les droits et libertés.
• Bases légales : Les bases légales sont les conditions légales listées par le RGPD qui rendent un traitement licite.

📝 Points essentiels

• Un traitement licite doit reposer sur l’une des six bases légales prévues par le RGPD.
• Le consentement exclut les cases pré-cochées et doit permettre un refus aussi simple que l’acceptation, comme rappelé par la sanction TikTok du 12 janvier 2023.
• Pour l’exécution d’un contrat, l’entreprise peut traiter les données indispensables, par exemple pour demander un nom et une carte bancaire lors d’un achat de billet.
• L’intérêt légitime autorise notamment la vidéosurveillance en magasin pour prévenir les vols si les droits des personnes ne sont pas indûment atteints.
• La validité du consentement et la liberté de choix peuvent être appréciées à travers la conception de l’interface de cookies, comme dans l’affaire TikTok.

💡 Astuce mémo

Consentement = acte positif clair, refus simple, pas de cases pré-cochées.

📖 4. Droits des personnes concernées

🔑 Notions clés & Définitions

• Droit d’information : Le droit d’information impose de communiquer clairement aux personnes concernées les mentions nécessaires avant ou au moment de la collecte.
• Droit d’accès : Le droit d’accès permet d’obtenir une copie des données personnelles détenues par un organisme.
• Droit d’opposition : Le droit d’opposition permet de demander l’arrêt de l’utilisation de données, avec un effet automatique en prospection commerciale.
• Droit à la portabilité : Le droit à la portabilité permet de récupérer ses données dans un format structuré et lisible par machine pour les transférer.

📝 Points essentiels

• Le droit d’accès (art. 15) prévoit une réponse sous 1 mois et gratuitement, avec des exceptions en cas de demande manifestement abusive ou contraire aux droits de tiers.
• Pour certains fichiers comme ceux de police ou de banque (FICOBA), l’accès est indirect via la CNIL ou un magistrat.
• La CJUE/tribunal cité via la CNIL : un secret médical invoqué par un médecin ne peut empêcher l’accès du patient à son dossier, sanctionné à 10 000 € par la CNIL.
• Le refus de répondre à une demande de droit d’accès est puni par l’article 226-18-1 du Code pénal, contravention de 5e classe (1500 € ; 3000 € en cas de récidive).
• Le droit d’opposition en prospection commerciale est absolu et automatique : l’entreprise doit s’arrêter immédiatement sans justification et le non-respect est pénal selon l’article 226-18-1 du Code pénal.

💡 Astuce mémo

Accès = 1 mois ; opposition pub = stop immédiat.

📖 5. Cas particuliers du RGPD

🔑 Notions clés & Définitions

• Majorité numérique : La majorité numérique fixe l’âge à partir duquel un mineur peut donner un consentement seul pour certains traitements, avec possibilité de baisse par les États.
• Directives après décès : Les directives après décès permettent d’organiser le sort des données d’une personne après sa mort par des instructions laissées de son vivant.
• Personnes décédées : Le régime français permet d’agir au nom de la personne décédée pour clôturer des comptes ou récupérer des données utiles à la succession si aucun cadre n’a été laissé.
• Droit de rectification : Le droit de rectification permet de corriger des données fausses ou périmées détenues sur une personne.

📝 Points essentiels

• En France, la majorité numérique est fixée à 15 ans, alors que le seuil par défaut du RGPD est à 16 ans selon la règle mentionnée.
• Si le mineur a moins de 15 ans, l’inscription sur un réseau social exige un consentement conjoint de l’enfant et des titulaires de l’autorité parentale.
• Le contrôle d’âge sur les sites pornographiques doit être fiable, robuste à la fraude et confié à un tiers indépendant certifié, pour éviter que le site ne collecte des pièces d’identité.
• Pour les personnes décédées, des directives peuvent organiser le sort des données ; à défaut, les héritiers peuvent agir pour clôturer les comptes ou récupérer les données nécessaires au règlement de la succession.
• Le cours rattache aussi le droit de rectification (art. 16) au fait de corriger des informations fausses ou périmées.

💡 Astuce mémo

Mineur < 15 ans : duo enfant + parents ; après décès : directives sinon action des héritiers.

📖 6. Profilage et décisions automatisées

🔑 Notions clés & Définitions

• Profilage : Le profilage désigne l’évaluation automatisée qui peut conduire à un résultat utilisé pour affecter une personne.
• Décisions automatisées : Les décisions automatisées sont des décisions prises au moyen d’algorithmes sans intervention humaine substantielle conduisant à des effets sur la personne.
• Article 22 RGPD : L’article 22 du RGPD encadre l’usage des décisions produisant des effets juridiques ou majeurs fondées sur un traitement automatisé.

📝 Points essentiels

• Par principe, il est interdit de prendre une décision produisant des effets juridiques ou majeurs uniquement par un traitement automatisé au sens de l’article 22.
• Dans l’affaire Schufa (arrêt CJUE du 7 décembre 2023), une décision quasi automatique fondée sur un score IA pour refuser un prêt a été jugée contraire à l’article 22 lorsque l’humain n’exerce pas un esprit critique réel.
• Le fait que la banque ait un humain qui signe à la fin ne suffit pas si l’humain applique le score sans marge réelle d’appréciation.
• Des exceptions existent si la décision est autorisée par une loi, nécessaire à un contrat, ou fondée sur un consentement explicite.
• Dans les exceptions, des garanties sont obligatoires : intervention humaine effective, possibilité d’exprimer son point de vue et de contester la décision.

💡 Astuce mémo

Article 22 : effet juridique/majeur + automatisé = en principe interdit.

📖 7. Responsabilité, accountability et CNIL

🔑 Notions clés & Définitions

• Responsable de traitement : Le responsable de traitement est l’entité qui décide des finalités et des moyens du traitement, donc responsable juridiquement.
• Sous-traitant : Le sous-traitant traite les données uniquement sur instructions écrites du responsable de traitement.
• Accountability : L’accountability impose à l’entreprise d’être en mesure de démontrer à tout moment sa conformité au RGPD.
• CNIL : La CNIL est l’autorité de contrôle chargée de veiller au respect du RGPD en contrôlant et en sanctionnant.

📝 Points essentiels

• Le responsable de traitement (art. 4 §7) décide du “pourquoi” et du “comment” de la collecte et en porte la responsabilité.
• Le sous-traitant (art. 4 §8) n’agit que sur les ordres et instructions écrites du responsable de traitement, par exemple pour un hébergement cloud.
• Depuis le RGPD, la déclaration préalable des fichiers n’est plus le mécanisme principal : l’entreprise doit démontrer sa conformité grâce à l’accountability.
• La CNIL contrôle a posteriori et peut infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
• Le cadre renforce la preuve de conformité : l’entreprise doit pouvoir prouver qu’elle respecte le RGPD à tout moment.

💡 Astuce mémo

Responsable = décisions ; sous-traitant = exécution sur ordre ; CNIL = preuves et sanctions.

📅 Repères chronologiques

📊 Tableaux de synthèse

Bases légales : consentement vs contrat vs intérêt légitime

⚠️ Pièges & confusions fréquents

1. Confondre donnée personnelle et donnée de personne morale : le RGPD vise les êtres humains, pas les entreprises.
2. Croire que des données anonymisées sont automatiquement “hors RGPD” sans preuve de l’impossibilité de retrouver la personne.
3. Penser que le consentement peut être obtenu avec des cases pré-cochées ou avec un refus rendu plus difficile que l’acceptation.
4. Croire qu’un humain qui signe “à la fin” rend une décision automatisée conforme à l’article 22 si l’humain ne critique pas réellement le score.
5. Oublier que la conservation doit être gérée en étapes et qu’il existe un sort final (destruction ou anonymisation) après les délais.
6. Sous-estimer l’opposition en prospection commerciale : le droit est automatique et l’arrêt doit être immédiat sans justification.
7. Oublier l’accountability : la conformité doit pouvoir être démontrée à tout moment, pas seulement être “déclarée” à l’avance.

✅ Checklist Examen

1. Définir une donnée personnelle et donner des exemples directs et indirects cités (nom, IP, numéro, plaque, géolocalisation).
2. Expliquer pourquoi les données de personnes morales ne relèvent pas du RGPD et identifier un exemple mentionné (SIRET, chiffre d’affaires).
3. Distinguer données anonymisées et données mixtes, et dire ce que cela implique pour l’application du RGPD.
4. Décrire les principes de finalité, minimisation et limitation de la conservation, y compris la logique des trois temps de conservation.
5. Citer les règles clés du consentement et rappeler l’interdiction des cases pré-cochées, avec le critère de liberté du choix.
6. Identifier au moins trois bases légales du traitement et associer chacune à une condition centrale et un exemple du cours.
7. Maîtriser le droit d’information, le droit d’accès (délai et gratuité), et les exceptions mentionnées pour les demandes ou certains fichiers.
8. Connaître les sanctions pénales liées au refus de droit d’accès et au non-respect du droit d’opposition en prospection commerciale selon l’article 226-18-1 du Code pénal.
9. Savoir expliquer le droit d’opposition en prospection commerciale comme droit absolu et automatique entraînant un arrêt immédiat.
10. Décrire la logique du droit à la portabilité (format structuré et lisible par machine pour transfert).
11. Expliquer les cas de mineurs (majorité numérique à 15 ans en France et consentement conjoint si < 15 ans) et la règle de contrôle d’âge sur les sites pornographiques selon le référentiel ARCOM et la loi SREN 2024.
12. Présenter le principe d’interdiction des décisions entièrement automatisées produisant des effets juridiques ou majeurs (article 22) et les exceptions avec garanties.
13. Connaître la différence responsable de traitement vs sous-traitant et les idées clés d’accountability et du rôle de la CNIL, y compris le maximum d’amende cité.