Lernzettel: Introduction à la Protection des Données Personnelles

📋 Plan du Cours

  1. Genèse du RGPD et logique de responsabilisation
  2. Champ d’application territorial et matériel du RGPD
  3. Donnée à caractère personnel et identification directe ou indirecte
  4. Principes de licéité, loyauté et transparence
  5. Limitation des finalités et réutilisation compatible
  6. Données sensibles et régime d’interdiction avec exceptions
  7. Droits des personnes concernées : portabilité et décisions automatisées
  8. Co-responsabilité et accord de répartition des obligations
  9. Relation responsable de traitement et sous-traitant
  10. Langue de la publicité et règles en ligne
  11. Démarchage et consentement opt-in ou opt-out
  12. Obligations DSA par niveaux pour services intermédiaires

📖 1. Genèse du RGPD et logique de responsabilisation

🔑 Notions clés & Définitions

  • Responsabilisation : La responsabilisation est l’idée que l’organisme doit non seulement respecter le RGPD, mais aussi prouver sa conformité.
  • Conformité : La conformité correspond au respect effectif des règles du RGPD par le traitement mis en œuvre.
  • Compliance : La compliance désigne la capacité démontrable de l’organisme à établir qu’il respecte le RGPD, notamment en cas de contrôle ou de contentieux.
  • Loi Informatique et Libertés : La loi du 8 janvier 1978 encadre en France la protection des données personnelles et a été modifiée en 2018 pour éviter les contradictions avec le RGPD.
  • Article 4 RGPD : L’article 4 du RGPD regroupe les définitions clés utilisées pour qualifier les données, traitements et acteurs.

📝 Points essentiels

  • Le RGPD marque une rupture avec une logique centrée sur des formalités déclaratives au profit d’une logique de responsabilisation.
  • L’organisme doit être en mesure de démontrer qu’il respecte les règles, pas seulement de les appliquer.
  • Le RGPD vise les données à caractère personnel, automatisées ou non, dès lors qu’elles sont contenues dans un fichier.
  • Le RGPD s’applique aussi aux établissements hors UE lorsque leurs activités visent des personnes situées dans l’UE.
  • Le RGPD coexiste avec le droit national français, notamment la loi du 8 janvier 1978 dite Informatique et Libertés.
  • En pratique, l’articulation RGPD/droit national passe par la qualification du traitement, l’identification de la base de licéité, puis la vérification de textes nationaux applicables et des exigences de responsabilité (p

💡 Astuce mémo

Responsabilisation = Respect + Preuve (compliance) : “je fais” et “je montre”.

📖 2. Champ d’application territorial et matériel du RGPD

🔑 Notions clés & Définitions

  • Généralisation : La généralisation est une technique qui remplace une valeur précise par une catégorie plus large pour réduire la ré-identification.
  • Suppression sélective : La suppression sélective consiste à retirer, dans une base, des variables jugées à risque pour limiter la divulgation d’informations sensibles.
  • Perturbation ou ajout de bruit : La perturbation ou l’ajout de bruit consiste à injecter une donnée aléatoire pour masquer une information et diminuer la précision exploitable.
  • Permutation : La permutation est une technique qui échange des valeurs entre individus afin de rompre le lien direct entre une personne et une donnée.
  • Agrégation : L’agrégation regroupe des individus selon un critère commun pour produire des résultats moins individualisables.

📝 Points essentiels

  • Les techniques de protection des données incluent généralisation, suppression sélective, ajout de bruit, permutation et agrégation pour réduire le risque de ré-identification.
  • La généralisation remplace par exemple une date de naissance par une tranche d’âge afin de rendre l’information moins précise.
  • La suppression sélective vise des variables à risque, par exemple des professions très spécifiques ou des pathologies rares.
  • L’ajout de bruit consiste à ajouter une perturbation pour cacher une information et empêcher une exploitation trop exacte.
  • La permutation consiste à changer l’ordre des valeurs associées à des personnes, ce qui nécessite un brouillage supplémentaire pour éviter de reconstituer l’association initiale.
  • L’agrégation regroupe des individus proches sur un critère (ex. intervalle d’âge) pour produire un regroupement plutôt qu’un profil individuel.

💡 Astuce mémo

G-S-P-A-P : Généralisation, Suppression, (Bruit) Perturbation, Agrégation, Permutation (5 leviers anti-identification).

📖 3. Donnée à caractère personnel et identification directe ou indirecte

🔑 Notions clés & Définitions

  • Donnée à caractère personnel : Une donnée à caractère personnel est toute information permettant d’identifier une personne, directement ou par recoupement avec d’autres éléments.
  • Identification directe : L’identification directe correspond au fait qu’une donnée permet d’identifier la personne sans avoir besoin d’informations supplémentaires.
  • Identification indirecte : L’identification indirecte correspond au fait qu’une donnée peut conduire à identifier la personne en utilisant d’autres informations ou recoupements.
  • Personne concernée : La personne concernée est celle dont les données sont traitées et qui dispose, notamment, de droits comme l’opposition selon les bases légales.
  • Droit d’opposition : Le droit d’opposition permet à la personne concernée de demander l’arrêt d’un traitement dans certaines situations prévues par le RGPD.

📝 Points essentiels

  • Une donnée est qualifiée de personnelle dès qu’elle permet d’identifier la personne, soit directement, soit indirectement.
  • L’identification indirecte peut devenir possible via des recoupements, y compris quand l’information apparaît dans des contextes moins structurés.
  • La personne concernée dispose d’une faculté d’opposition lorsque le traitement est fondé sur une base légale donnant ce droit.
  • En pratique, l’analyse doit porter sur la capacité réelle d’identifier la personne à partir des éléments disponibles.
  • Le raisonnement RGPD commence par la qualification de la donnée, car elle conditionne ensuite l’application des règles et droits associés.

💡 Astuce mémo

Direct = nommer tout de suite ; Indirect = retrouver par recoupement.

📖 4. Principes de licéité, loyauté et transparence

🔑 Notions clés & Définitions

  • Accord de co-responsabilité : L’accord de co-responsabilité est un contrat qui répartit les obligations entre co-responsables tout en conservant leur responsabilité de fond.
  • Responsable de traitement : Le responsable de traitement est l’acteur qui détermine les finalités et les moyens du traitement et doit pouvoir démontrer sa conformité au RGPD.
  • Sous-traitant : Le sous-traitant est l’acteur qui traite des données pour le compte du responsable selon des instructions encadrées.
  • Registre des traitements : Le registre des traitements est une documentation interne qui décrit, pour chaque traitement important, les éléments nécessaires à la conformité.
  • Traçabilité : La traçabilité est la conservation des traces pertinentes des événements liés au traitement, comme les accès, exports et suppressions.

📝 Points essentiels

  • En co-responsabilité, un accord formalise la répartition des obligations et la coopération, sans décharger les co-responsables de leur responsabilité de fond.
  • L’accord doit préciser qui fait quoi, pour qui, selon quelles modalités, et quels éléments impactent directement les personnes concernées afin d’éviter les zones grises.
  • La relation responsable/sous-traitant repose sur des instructions réglementées portant sur finalités, catégories de données, catégories de personnes, opérations autorisées, durées, destinataires et contraintes de sécu.
  • La répartition contractuelle n’éteint pas la responsabilité du responsable vis-à-vis des personnes concernées, qui doit justifier le choix du sous-traitant et son suivi dans le temps.
  • Le sous-traitant doit pouvoir localiser, extraire, corriger, effacer, restreindre, signaler sans délai les incidents de sécurité, et décrire ses traitements et flux de données.
  • Le responsable doit garder la maîtrise de la chaîne en autorisant ou non le recours à des sous-traitants ultérieurs, et ces derniers doivent respecter les mêmes exigences essentielles.

💡 Astuce mémo

Accord = Qui fait quoi ; Instructions = Finalités→données→opérations→durées→destinataires→sécurité ; Registre + Traçabilité = preuve.

📖 5. Limitation des finalités et réutilisation compatible

🔑 Notions clés & Définitions

  • ICANN : Organisation chargée de la coordination du système des noms de domaine, notamment via des appels à candidatures pour de nouveaux gTLDs.
  • gTLDs : Extensions génériques de noms de domaine qui ouvrent l’enregistrement au-delà des extensions classiques comme .org ou .com.
  • Round 2012 : Appel à candidatures ICANN qui a ouvert largement les premières extensions de noms de domaine génériques, avec près de 2000 candidatures.
  • Round 2026 : Prochain appel à candidatures ICANN annoncé pour avril 2026 afin de créer des extensions personnalisées de type marque ou région.
  • WHOIS : Système de publication des informations d’enregistrement des noms de domaine, dont l’accès et le traitement ont été encadrés par l’ICANN avec le RGPD.

📝 Points essentiels

  • Le programme ICANN de nouvelles extensions a été lancé en 2008, avec un projet déposé en 2012, marquant un bouleversement du nommage Internet.
  • Round 2012 vise l’ouverture des gTLDs au-delà des extensions historiques, avec près de 2000 candidatures déposées.
  • Les nouveaux gTLDs peuvent soutenir des usages marketing et favoriser l’essor d’extensions sectorielles comme .tech ou .online.
  • Round 2026 est annoncé pour un appel à candidatures en avril 2026, sur une durée de 12 à 15 semaines, avec un reveal day prévu le 30 octobre 2026.
  • Le RGPD (entrée en vigueur le 25 mai 2018) a conduit l’ICANN à adopter une spécification temporaire encadrant les données d’enregistrement des gTLDs, prolongée par périodes de 90 jours renouvelables.
  • Le WHOIS a été impacté par le RGPD, avec l’application de trois principes d’équilibre (non détaillés ici dans la source).

💡 Astuce mémo

ICANN = “Rounds” : 2012 (≈2000 candidatures) puis 2026 (avril→12-15 semaines, reveal day 30/10) ; RGPD = WHOIS sous règles temporaires (25/05/2018, +90 jours).

📖 6. Données sensibles et régime d’interdiction avec exceptions

🔑 Notions clés & Définitions

  • RGPD : Le RGPD est le cadre européen qui impose des règles de protection des données personnelles, y compris pour les données d’enregistrement des noms de domaine.
  • WHOIS : Le WHOIS est le système de publication des données d’enregistrement des noms de domaine, dont l’accès est encadré par le RGPD.
  • Anonymisation des titulaires : L’anonymisation des titulaires est la pratique qui masque par défaut les données personnelles des personnes physiques dans les enregistrements WHOIS.
  • RDRS : Le RDRS est le service centralisé de l’ICANN permettant de soumettre des demandes d’accès aux données WHOIS.
  • DMCA : Le DMCA est un mécanisme extrajudiciaire américain permettant d’obtenir la suspension d’un contenu manifestement illicite via un intermédiaire technique.

📝 Points essentiels

  • Le RGPD (entrée en vigueur le 25 mai 2018) a conduit l’ICANN à adopter une spécification temporaire pour encadrer les données d’enregistrement des gTLDs, prolongée par périodes de 90 jours renouvelables.
  • Trois principes d’équilibre encadrent l’accès aux données WHOIS : anonymisation par défaut, accès conditionné à une demande motivée via les bureaux d’enregistrement, et contact des tiers via un e-mail anonymisé ou un web
  • En France, l’AFNIC anonymise les personnes physiques depuis 2006, avec plus de 3M de noms en .fr concernés.
  • La levée d’anonymat suppose de démontrer un intérêt légitime (ex. marque antérieure), mais l’acceptation varie selon les registrars et peut exiger des éléments non prévus par les textes.
  • Le RDRS (depuis 2023) centralise les demandes d’accès aux données WHOIS, ce qui standardise le passage entre demandeurs et registrars.
  • Le WHOIS History permet de reconstituer l’historique d’un nom de domaine (activité passée, registrars successifs, propriétaires antérieurs).

💡 Astuce mémo

RGPD = Anonymiser par défaut, Demander motivé, Contacter via canal anonymisé (A-D-C).

📖 7. Droits des personnes concernées : portabilité et décisions automatisées

🔑 Notions clés & Définitions

  • Portabilité des données : Droit permettant à une personne de récupérer ses données dans un format exploitable et de les transmettre à un autre responsable de traitement.
  • Décisions automatisées : Décisions prises sans intervention humaine, sur la base de traitements informatiques, pouvant produire des effets juridiques ou significatifs pour la personne.
  • Personne concernée : Individu dont les données personnelles sont traitées et qui peut exercer des droits liés à ce traitement.
  • Responsable de traitement : Entité qui détermine les finalités et les moyens du traitement des données personnelles.

📝 Points essentiels

  • La portabilité vise la remise des données de la personne dans un format permettant une réutilisation et une migration vers un autre service.
  • Les décisions automatisées sont celles prises sans intervention humaine, avec des effets pouvant impacter la personne de manière notable.
  • Les droits s’exercent au bénéfice de la personne concernée, contre le responsable de traitement qui pilote le traitement.
  • Le régime des décisions automatisées implique une attention particulière lorsque la décision produit des effets juridiques ou significatifs pour la personne.
  • La logique générale est de donner un contrôle accru sur l’usage des données et sur l’impact des traitements informatiques sur la personne.

💡 Astuce mémo

Portabilité = « je récupère mes données » ; Décisions automatisées = « je suis décidé par une machine ».

📖 8. Co-responsabilité et accord de répartition des obligations

🔑 Notions clés & Définitions

  • Opt-in : L’opt-in est le mécanisme où le consentement préalable explicite est requis avant tout démarchage par e-mail.
  • Opt-out : L’opt-out est le mécanisme où le démarchage est possible sans consentement préalable, sous conditions, avec un droit de refus.
  • Fichier client : Un fichier client désigne des coordonnées recueillies lors d’une vente ou d’une prestation, pouvant servir au démarchage selon un régime d’exception.
  • DGCCRF : La DGCCRF est l’autorité chargée de contrôles et de sanctions en matière de pratiques commerciales et de protection des consommateurs.
  • Responsabilité contractuelle : La responsabilité contractuelle sanctionne l’inexécution ou la mauvaise exécution d’obligations issues d’un contrat.

📝 Points essentiels

  • L’exception à l’opt-in permet, sous conditions, d’utiliser l’e-mail pour démarcher des personnes figurant dans un fichier client (opt-out pour les PM).
  • Les coordonnées doivent avoir été recueillies auprès du destinataire et conformément à la loi du 6 janvier 1978 lors d’une vente ou d’une prestation de services.
  • Le défaut de consentement expose à une amende administrative plafonnée à 75 000 € pour les personnes physiques, avec un facteur x5 pour les personnes morales.
  • En cas de manquement, il est possible de faire cesser les agissements, puis en cas de réitération une saisine de la DGCCRF peut intervenir.
  • Le respect des données personnelles impose des exigences de collecte loyale et licite, ainsi que des informations sur la collecte, les droits (accès, rectification) et la finalité.
  • Les sanctions RGPD peuvent être pénales et s’ajouter à des sanctions administratives prononcées par la CNIL.

💡 Astuce mémo

Opt-out = fichier client issu d’une vente/prestation + collecte conforme + droit de refus.

📖 9. Relation responsable de traitement et sous-traitant

🔑 Notions clés & Définitions

  • Offre en ligne : L’offre en matière électronique est une offre accessible en permanence, tant qu’elle n’est pas retirée à l’écran par l’offrant.
  • Révocation à l’écran : La révocation d’une offre électronique ne produit effet que par la suppression de l’offre directement à l’écran.
  • Double consentement : Le contrat électronique suppose en principe un double accord du consommateur, matérialisé par une validation à l’écran.
  • Accusé de réception : L’accusé de réception est un mécanisme technique qui confirme la réception de la commande sans conditionner la formation du contrat.
  • Droit de rétractation : Le droit de rétractation permet au consommateur de se désengager d’un contrat à distance ou électronique dans un délai légal.

📝 Points essentiels

  • Principe de l’offre : une offre précise et sérieuse engage l’offrant en droit commun.
  • Particularité électronique : seule la suppression à l’écran opère révocation, ce qui maintient l’offre comme « état d’offre permanent » tant qu’elle reste accessible.
  • Tempéraments contre l’engagement permanent : prévoir un délai de validité, instituer un agrément, ou limiter l’offre à la limite des stocks disponibles.
  • Principe du double consentement : le contrat se forme par l’échange des consentements, l’électronique change surtout la forme de l’accord.
  • Modalités pratiques : formulaire à l’écran, double clic de validation, accès aux conditions générales, puis accusé de réception à rôle technique.
  • Exceptions au double consentement : la jurisprudence admet qu’un message adressé à un comptable peut constituer une commande de consultation assimilée à une offre, sans exiger le double consentement ; et entre « contrats

📖 10. Langue de la publicité et règles en ligne

🔑 Notions clés & Définitions

  • Loi du 13 mars 2000 : La loi du 13 mars 2000 encadre la preuve et la reconnaissance de l’écrit électronique en droit français.
  • Écrit électronique : L’écrit électronique est une suite de lettres, chiffres ou caractères lisibles, pouvant être sur écran ou sur papier, servant de support à l’échange.
  • Signature électronique : La signature électronique est un procédé permettant d’identifier le signataire et d’exprimer son consentement à l’acte.
  • Acte authentique électronique : L’acte authentique électronique est un acte solennel établi par un officier public, dont la signature peut être dématérialisée.
  • Authentification forte : L’authentification forte est un mécanisme de sécurité fondé sur l’usage de deux éléments ou plus relevant de la connaissance, de la possession ou de l’inhérence.

📝 Points essentiels

  • Le contrat électronique reste consensuel sauf si une forme est exigée pour la validité ou la solennité de l’acte.
  • L’exigence de forme solennelle n’empêche pas la conclusion à distance dès lors que l’écrit reste intelligible et conforme aux exigences de preuve.
  • Le droit européen impose de ne pas traiter différemment l’écrit électronique et l’écrit physique, y compris quand l’écrit est requis pour la validité.
  • Des exceptions existent pour certains actes où le support papier est préservé, notamment en droit de la famille et des successions, ainsi que pour certains actes de succession liés aux sûretés réelles.
  • La preuve de l’écrit électronique est admise comme preuve littérale, avec des conditions d’identification de l’auteur et d’intégrité empêchant toute modification a posteriori.
  • En droit civil, un écrit est exigé pour les engagements supérieurs à 1500€ (règle de l’article 1359 du Code civil).

💡 Astuce mémo

Écrit électronique = lisible + auteur identifié + intégrité (sinon la preuve tombe).

📖 11. Démarchage et consentement opt-in ou opt-out

🔑 Notions clés & Définitions

  • Ordonnance du 9 août 2017 : Ordonnance relative à la sécurité des paiements qui renforce la protection du payeur via deux mécanismes clés.
  • Authentification forte : Modalité d’authentification fondée sur l’utilisation d’au moins deux éléments relevant des catégories connaissance, possession et inhérence.
  • Délai de contestation allongé : Règle qui étend le temps dont dispose le titulaire pour contester un paiement, afin de renforcer la protection du payeur.
  • Contrat d’adhésion : Contrat où les clauses sont fixées à l’avance et ne sont pas négociables, ce qui expose le consommateur à un déséquilibre.
  • Clause réputée non écrite : Sanction qui frappe une clause non négociable créant un déséquilibre significatif dans un contrat d’adhésion.

📝 Points essentiels

  • Le payeur n’est pas engagé si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte.
  • Si le titulaire conteste par écrit avoir effectué un paiement ou un retrait, les sommes sont recréditées ou restituées sans frais au plus tard dans le délai d’un mois après réception de la contestation.
  • L’authentification forte exige la vérification d’au moins deux éléments parmi connaissance, possession et inhérence.
  • Exemples d’éléments de connaissance : mot de passe ou code connu uniquement du porteur de carte.
  • Exemples d’éléments de possession : appareil (smartphone, carte à puce, montre connectée) détenu par l’utilisateur.
  • Exemples d’éléments d’inhérence : empreinte digitale ou reconnaissance faciale du porteur.

📖 12. Obligations DSA par niveaux pour services intermédiaires

🔑 Notions clés & Définitions

  • Services intermédiaires : Les services intermédiaires au sens du DSA sont des acteurs qui transmettent, mettent en cache ou hébergent des contenus fournis par des tiers.
  • Niveau 1 obligations de base : Le niveau 1 regroupe les obligations minimales imposées à tous les fournisseurs de services intermédiaires, quel que soit leur rôle.
  • Niveau 2 obligations hébergeurs : Le niveau 2 ajoute des obligations spécifiques aux hébergeurs, en raison de leur rôle plus direct dans la mise à disposition des contenus.
  • Niveau 3 obligations plateformes en ligne : Le niveau 3 renforce les obligations des plateformes en ligne, notamment sur le traitement des signalements et la gestion des abus.
  • Niveau 4 obligations risques systémiques : Le niveau 4 impose des obligations renforcées aux très grandes plateformes et très grands moteurs de recherche pour gérer les risques systémiques.

📝 Points essentiels

  • Le DSA organise des obligations graduées selon l’impact des services intermédiaires sur le bien-être des citoyens.
  • Le niveau 1 vise tous les services intermédiaires et renvoie aux articles 11 à 15 du DSA.
  • Le niveau 1 impose deux points de contact uniques : un pour les autorités et un pour les destinataires de service.
  • Le niveau 1 impose la désignation d’un représentant légal dans un État membre.
  • Le niveau 1 impose des exigences sur les conditions générales d’utilisation, notamment via l’article 14 du DSA.
  • Le niveau 1 comprend des obligations de transparence prévues par le DSA (articles 11 à 15).

💡 Astuce mémo

Niveaux = 1 contact, 2 hébergeur, 3 plateforme, 4 risques systémiques.

📅 Repères chronologiques

DateÉvénement
8 janvier 1978Loi Informatique et Libertés (protection des données personnelles) en France
2018Modification de la loi Informatique et Libertés pour éviter les contradictions avec le RGPD
25 mai 2018Entrée en vigueur du RGPD ; ICANN adopte une spécification temporaire encadrant les données WHOIS des gTLDs
2006AFNIC anonymise les personnes physiques dans les enregistrements .fr
2008Lancement du programme ICANN de nouvelles extensions (bouleversement du nommage)
2012Projet déposé pour le Round 2012 (≈2000 candidatures)
2023RDRS (Registration Data Request Service) centralise les demandes d’accès aux données WHOIS
avril 2026Annonce du prochain appel à candidatures ICANN (Round 2026)
30 oct 2026Reveal day (publication du site des dossiers) pour le Round 2026
15 sept 2016CJUE, Tobias Mc Madden : précision sur la notion de service de la société de l’information (qualification FAI/transporteur)

📊 Tableaux de synthèse

Bases légales de l’article 6 RGPD (alternatives)

Base légaleIdée centraleDroit d’opposition
ConsentementAccord libre, spécifique, éclairé, univoque ; retirable à tout momentOui (faculté d’opposition mentionnée pour l’intérêt légitime)
ContratTraitement nécessaire à l’exécution du contrat ou mesures précontractuellesNon précisé
Obligation légaleTraitement nécessaire au respect d’une obligation légale suffisamment préciseNon précisé
Intérêts vitauxTraitement nécessaire en cas d’urgence / intégrité physique et vie en jeuNon précisé
Mission d’intérêt publicTraitement rattaché à une mission reconnue d’intérêt publicNon précisé
Intérêt légitimeIntérêt du responsable ne doit pas dépasser celui de la personne ; opposition possibleOui

Techniques d’anonymisation : effet sur le champ RGPD

TechniqueButSortie du RGPD
GénéralisationRemplacer une valeur précise par une catégorie plus large (ex. tranche d’âge)Oui si irréversible
Suppression sélectiveSupprimer des variables à risque (professions précises, pathologies rares)Oui si irréversible
Perturbation / ajout de bruitInjecter une donnée aléatoire pour masquer l’infoOui si irréversible
PermutationÉchanger des valeurs entre individus pour rompre le lien directOui si irréversible
AgrégationRegrouper des individus proches selon un critèreOui si irréversible

⚠️ Pièges & confusions fréquents

  1. Confondre responsabilisation (respect + preuve) et simple conformité : le RGPD exige de démontrer, pas seulement d’appliquer.
  2. Croire qu’une donnée est “personnelle” uniquement si elle contient un identifiant direct : l’identification indirecte par recoupement suffit.
  3. Penser qu’un logiciel est un traitement : le logiciel est un outil, tandis que les opérations (collecte, enregistrement, etc.) constituent le traitement.
  4. Assimiler la co-responsabilité à une simple sous-traitance : en co-responsabilité, les acteurs déterminent conjointement finalités et moyens.
  5. Oublier que la répartition contractuelle responsable/sous-traitant n’éteint pas la responsabilité du responsable vis-à-vis des personnes concernées.
  6. Confondre pseudonymisation et anonymisation : la pseudonymisation reste dans le champ du RGPD car la réversibilité est possible.
  7. Croire que l’hébergeur a une obligation générale de surveillance : le DSA pose l’absence d’obligation générale, avec des mécanismes d’injonction et de diligence conditionnés.

✅ Checklist Examen

  1. Expliquer la rupture RGPD : passage des formalités déclaratives à la logique de responsabilisation (conformité/compliance) et le rôle de la preuve en cas de contrôle/contentieux.
  2. Décrire le champ d’application matériel et territorial du RGPD (données personnelles, automatisées ou non, contenues dans un fichier ; activités UE et ciblage de personnes hors UE).
  3. Qualifier une donnée à caractère personnel en distinguant identification directe et indirecte, et relier cette qualification aux droits (notamment opposition selon la base légale).
  4. Définir un traitement au sens RGPD (opérations très larges) et donner l’exemple-type d’opérations constitutives (collecte, consultation, effacement, hébergement).
  5. Distinguer responsable de traitement et sous-traitant : finalités/moyens vs traitement pour le compte, et lister les obligations propres (sécurité, traçabilité, assistance, incidents, sous-traitants ultérieurs).
  6. Maîtriser les principes de licéité/loyauté/transparence et relier licéité à la cohérence finalité-données-destinataires-durées-sécurité, loyauté à l’absence de procédés ambigus, transparence à la lisibilité de la doc.
  7. Expliquer limitation des finalités et réutilisation compatible : vérifier la comptabilité finalité B avec finalité A, base juridique et information/garanties proportionnées.
  8. Connaître les bases légales de l’article 6 RGPD comme alternatives (consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêt légitime) et rappeler la logique de non-cumul.
  9. Présenter le régime des données particulières : interdiction de principe des données de l’article 9 avec exceptions (statutaires, consentement, publicité), et le régime spécifique de l’article 10 (autorisation conditionn
  10. Expliquer les droits des personnes concernées vus au cours : information, accès (données + traitement, délai 1 mois + prolongation), rectification, effacement, limitation (gel traçable), opposition (base intérêt légitime
  11. Expliquer portabilité et décisions automatisées : format structuré exploitable sans révéler les tiers ; droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets
  12. Exposer la logique WHOIS/ICANN sous l’angle RGPD : anonymisation par défaut, accès conditionné à une demande motivée via bureaux d’enregistrement, contact via canal anonymisé ; rôle du RDRS et fonction WHOIS History.
  13. Maîtriser le contentieux “nom de domaine” : 4 étapes (cybersquatting ; classe 38 ; exploitation concrète ; antériorité par nom de domaine) et les conditions d’opposabilité (arbitraire + exploitation).
  14. Comparer les voies d’action : action judiciaire (référé/fond) vs UDRP (conditions, procédure, exécution par l’ICANN, exclusion des ccTLDs).

Teste dein Wissen

Teste dein Wissen zu Introduction à la Protection des Données Personnelles mit 12 Multiple-Choice-Fragen mit detaillierten Korrekturen.

1. Quel énoncé résume le régime des données sensibles prévu par le RGPD ?

2. Dans quel cas le démarchage par courriel peut-il relever du régime d’opt-out plutôt que d’opt-in ?

Quiz machen →

Mit Karteikarten lernen

Merke dir die Schlüsselkonzepte von Introduction à la Protection des Données Personnelles mit 24 interaktiven Karteikarten.

Responsabilisation — définition ?

L’obligation de prouver sa conformité au RGPD.

Champ territorial du RGPD ?

Applique aux traitements dans l’UE ou visant personnes dans l’UE.

Donnée personnelle — définition ?

Information permettant d’identifier une personne, directement ou indirectement.

Karteikarten ansehen →

Similar courses

Refus et protection des documents

Introduction aux Fondements du Droit

Introduction aux régimes constitutionnels

Organisation et fonctionnement de la justice pénale

Introduction à la procédure pénale

Introduction au droit de la construction

Erstelle deine eigenen Lernzettel

Importiere deinen Kurs und die KI erstellt in 30 Sekunden Lernzettel, Quizze und Karteikarten.

Lernzettel-Generator