Lernzettel: Maîtrise du traitement des données personnelles

📋 Plan du Cours

1. Données personnelles et champ du RGPD
2. Principes du traitement des données
3. Bases légales du traitement
4. Droits des personnes concernées
5. Mineurs, décès et décisions automatisées
6. Responsabilité des acteurs et CNIL
7. Éditeur, hébergeur et rôle actif
8. Obligations de modération du DSA

📖 1. Données personnelles et champ du RGPD

🔑 Notions clés & Définitions

• Donnée personnelle : Une donnée personnelle est une information permettant d’identifier directement ou indirectement une personne physique.
• Données anonymisées : Des données anonymisées sont modifiées de façon à rendre impossible tout rattachement à une personne.
• Données mixtes : Des données mixtes contiennent des éléments professionnels et personnels indissociables, ce qui entraîne l’application du RGPD à tout le fichier.
• Extraterritorialité RGPD : Le RGPD s’applique aussi aux entreprises hors Europe si elles ciblent des résidents européens ou suivent leur comportement.

📝 Points essentiels

• Le RGPD ne vise que les personnes physiques, pas les données concernant les personnes morales comme un numéro SIRET ou un chiffre d’affaires.
• Une adresse IP, un numéro de sécurité sociale, une plaque d’immatriculation ou une géolocalisation peuvent constituer des données personnelles.
• Dans un fichier avec données professionnelles et données personnelles indissociables, le RGPD s’applique à l’ensemble du fichier par sécurité.
• Le RGPD s’applique aux entreprises du monde entier dès qu’elles ciblent directement des résidents européens ou utilisent des cookies pour suivre leur comportement.

💡 Astuce mémo

Direct = personne repérée, Indirect = trace repérable, Sinon pas RGPD.

📖 2. Principes du traitement des données

🔑 Notions clés & Définitions

• Finalité du traitement : La finalité impose que l’objectif de collecte et d’usage soit déterminé, explicite et légitime.
• Minimisation des données : La minimisation exige de collecter uniquement les données strictement nécessaires à l’objectif annoncé.
• Limitation de conservation : La limitation de conservation impose d’encadrer la durée de conservation selon des étapes prévues.

📝 Points essentiels

• La collecte « au cas où » est interdite : l’objectif doit être précisé, communiqué clairement et légitime.
• Pour la limitation de conservation, le cours distingue trois cycles : base active, archivage intermédiaire, puis destruction ou anonymisation après les délais légaux.
• L’archivage intermédiaire correspond à une conservation après la fin du contrat, rendue nécessaire par des obligations en cas de contrôle fiscal ou de procès, dans une base séparée à accès restreint.
• Après les délais légaux, l’entreprise doit détruire définitivement les données ou les anonymiser pour des statistiques.

💡 Astuce mémo

Finalité précise → Minimiser → Conserver par étapes puis finir.

📖 3. Bases légales du traitement

🔑 Notions clés & Définitions

• Consentement RGPD : Le consentement est une base légale valable seulement s’il est libre, spécifique, éclairé et univoque par un acte positif clair.
• Exécution d’un contrat : L’exécution d’un contrat permet de traiter les données nécessaires pour réaliser le contrat sans exiger un consentement autonome.
• Intérêt légitime : L’intérêt légitime autorise un traitement lié à un besoin commercial ou de sécurité logique, à condition de ne pas porter atteinte aux droits et libertés.

📝 Points essentiels

• Le consentement doit être donné par une action positive claire, tandis que des cases pré-cochées sont interdites.
• Le cours donne l’exemple d’une sanction CNIL/TikTok du 12 janvier 2023 à 5 millions d’euros liée à un bouton refuser cookies plus difficile à trouver que celui pour accepter.
• Pour un achat de billet de train, l’entreprise peut demander nom et carte bancaire sans consentement car c’est indispensable à l’exécution du contrat.
• Pour les caméras de surveillance, le cours mentionne l’intérêt légitime sous réserve de ne pas léser les droits et libertés.

💡 Astuce mémo

Consentement = acte positif clair, Contrat = nécessaire, Intérêt légitime = besoin + limites.

📖 4. Droits des personnes concernées

🔑 Notions clés & Définitions

• Droit d’information : Le droit à l’information impose d’afficher des mentions claires avant de collecter la donnée, via les Articles 12 et 13.
• Droit d’accès : Le droit d’accès permet d’obtenir une copie intégrale des données détenues sur soi par un organisme.
• Droit de rectification : Le droit de rectification permet de corriger des données fausses ou devenues périmées.
• Droit à la portabilité : Le droit à la portabilité permet de récupérer ses données dans un format structuré et lisible par machine pour les transférer.

📝 Points essentiels

• Le droit d’accès prévoit une réponse sous 1 mois, gratuitement, sauf cas d’abus manifeste/répétition ou atteinte à des droits de propriété intellectuelle ou de tiers.
• Pour FICOBA (fichiers police ou banque), l’accès est indirect via CNIL ou un magistrat, selon le cours.
• Le droit d’opposition pour la prospection commerciale est absolu et automatique : l’entreprise doit cesser immédiatement sans justification de votre part.
• Le refus de répondre à une demande de droit d’accès est pénalement sanctionné par l’Article 226-18-1 avec contravention de 5e classe (1500 €), et 3000 € en cas de récidive.
• Le droit à l’effacement est illustré par l’arrêt CJUE du 13 mai 2014 Google Spain, permettant de supprimer des liens vers des articles obsolètes ou nuisibles à la réputation.

💡 Astuce mémo

Accès = copie complète en 1 mois ; Opposer = stop prospection tout de suite.

📖 5. Mineurs, décès et décisions automatisées

🔑 Notions clés & Définitions

• Majorité numérique : La majorité numérique du RGPD fixe un âge à partir duquel un mineur peut consentir, avec possibilité de modulation par l’État.
• Décisions automatisées : Les décisions automatisées sont des décisions prises 100 % automatiquement produisant des effets juridiques ou majeurs, encadrées par l’Article 22.
• Consentement conjoint mineur : Pour un mineur de moins de 15 ans selon la France, l’inscription sur un réseau social exige l’accord de l’enfant et des titulaires de l’autorité parentale.
• Profilage : Le profilage est lié à l’Article 22 lorsqu’il sert de base à une décision produisant des effets juridiques ou majeurs sans intervention humaine réelle.

📝 Points essentiels

• Le cours indique que le RGPD fixe par défaut la majorité numérique à 16 ans, mais la France l’a fixée à 15 ans par l’Article 45 de la Loi Informatique et Libertés.
• Si le mineur a moins de 15 ans, l’inscription sur un réseau social exige le consentement conjoint de l’enfant et des titulaires de l’autorité parentale.
• En matière de sites pornos, la loi SREN 2024 impose une vérification d’âge fiable, robuste à la fraude et confiée à un tiers indépendant certifié selon le référentiel ARCOM.
• Le cours rappelle l’interdiction de principe des décisions 100 % automatisées produisant des effets juridiques ou majeurs, avec exceptions si loi, nécessité au contrat ou consentement explicite plus garanties.
• La CJUE (arrêt Schufa, 7 décembre 2023) qualifie d’illégale une décision au sens de l’article 22 lorsque le traitement est appliqué sans esprit critique, même si un humain signe en dernier.

💡 Astuce mémo

<15 ans = parents + enfant ; Art. 22 = 100% machine interdit sauf garanties et droits effectifs.

📖 6. Responsabilité des acteurs et CNIL

🔑 Notions clés & Définitions

• Responsable de traitement : Le responsable de traitement est l’entité qui décide du pourquoi et du comment du traitement et porte la responsabilité juridique.
• Sous-traitant : Le sous-traitant traite les données uniquement sur instructions écrites du responsable de traitement.
• Accountability : L’accountability impose aux entreprises de pouvoir démontrer à tout moment qu’elles respectent le RGPD.
• CNIL autorité de contrôle : La CNIL est l’autorité chargée de contrôler la conformité et de sanctionner en cas de manquements.

📝 Points essentiels

• Le responsable de traitement décide du « pourquoi » et du « comment » : l’entreprise reste juridiquement responsable.
• Le sous-traitant exécute le traitement uniquement sur ordres et instructions écrites du responsable de traitement.
• Depuis le RGPD, le cours explique que la CNIL ne fait plus de déclaration préalable des fichiers et contrôle a posteriori via l’accountability.
• Les amendes mentionnées vont jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

💡 Astuce mémo

Qui décide = responsable ; Qui exécute sur ordre = sous-traitant ; Prouver à tout moment = accountability.

📖 7. Éditeur, hébergeur et rôle actif

🔑 Notions clés & Définitions

• Éditeur : L’éditeur contrôle le contenu et supporte une responsabilité immédiate dès la mise en ligne du contenu illicite.
• Hébergeur : L’hébergeur stocke techniquement les contenus, avec une responsabilité limitée à un rôle de mise à disposition.
• Rôle actif : Un rôle actif correspond à une intervention de la plateforme qui trie ou sélectionne les contenus, faisant perdre l’immunité d’hébergeur.

📝 Points essentiels

• Le duel éditeur vs hébergeur repose sur l’idée que l’éditeur répond pénalement et civilement dès la seconde de mise en ligne du contenu illicite.
• La responsabilité de l’hébergeur est limitée car il est considéré techniquement impossible de surveiller chaque contenu posté à grande échelle.
• Le déclencheur de responsabilité de l’hébergeur survient lorsqu’il reçoit un signalement effectif et précis puis n’agit pas promptement pour retirer ou bloquer l’accès.
• Le cours mentionne la requalification en éditeur si la plateforme commence à trier, sélectionner, effectuer un contrôle éditorial ou modifier l’agencement des annonces.
• L’arrêt Google France (CJUE 2010) est cité pour illustrer cette logique de rôle actif conduisant à la perte de l’immunité.

💡 Astuce mémo

Immunité hébergeur : passif ; dès que tu agis comme éditeur, tu deviens responsable.

📖 8. Obligations de modération du DSA

🔑 Notions clés & Définitions

• Signalement des contenus illicites : Le DSA impose un outil de signalement clair et facile d’accès pour les contenus illicites.
• Décision motivée : Le DSA impose que la suppression d’une publication ou la suspension d’un compte soit accompagnée d’une décision motivée.
• Réclamations internes et révision humaine : Le DSA oblige à offrir un système interne gratuit de traitement des réclamations avec possibilité de révision humaine.

📝 Points essentiels

• Article 16 DSA : la plateforme doit fournir un outil de signalement des contenus illicites clair et facile d’accès.
• Article 17 DSA : en cas de suppression ou de suspension, la plateforme doit transmettre une décision motivée expliquant précisément la règle en cause.
• Article 20 DSA : la plateforme doit mettre en place un système interne gratuit pour contester la censure et demander une révision humaine.
• Le cours présente le DSA comme une modernisation qui renforce la transparence pour éviter une modération abusive ou opaque, sans supprimer le statut d’hébergeur.

💡 Astuce mémo

DSA = Signaler, Expliquer, Contester avec révision humaine.

📅 Repères chronologiques

📊 Tableaux de synthèse

Duel éditeur vs hébergeur

⚠️ Pièges & confusions fréquents

1. Penser que le RGPD protège aussi les personnes morales : le cours rappelle que le RGPD vise uniquement les personnes physiques.
2. Croire que l’hébergeur est responsable sans signalement : le cours exige un signalement effectif et précis puis une absence d’action prompte.
3. Confondre consentement libre et cases pré-cochées : le cours précise que les cases pré-cochées sont interdites pour le consentement.
4. Considérer toute décision signée par un humain comme non automatisée : l’arrêt Schufa montre qu’une absence d’esprit critique suffit à qualifier la décision d’automatisée.
5. Oublier que le droit d’opposition en prospection commerciale est automatique et impose un arrêt immédiat sans justification.
6. Inverser anonymisation et données mixtes : le cours dit que l’anonymisation doit rendre impossible le rattachement, alors que les données mixtes soumettent tout le fichier au RGPD.

✅ Checklist Examen

1. Savoir définir une donnée personnelle et distinguer données personnelles, anonymisées et données mixtes au regard du RGPD.
2. Expliquer quand s’applique l’extraterritorialité du RGPD à une entreprise hors UE (ciblage ou suivi via cookies).
3. Citer les exigences clés du principe de finalité (objectif déterminé, explicite, légitime) et l’interdiction de la collecte « au cas où ».
4. Relier minimisation et exemple d’illégalité lorsque des données non nécessaires sont demandées à la place (profession, nombre d’enfants).
5. Maîtriser les 3 cycles de conservation présentés : base active, archivage intermédiaire à accès restreint, puis destruction ou anonymisation après délais.
6. Lister les bases légales pertinentes (consentement, exécution du contrat, intérêt légitime) et rappeler le critère de consentement univoque par acte positif clair.
7. Retenir l’exemple TikTok du 12 janvier 2023 (5 millions d’euros) pour savoir caractériser un consentement non libre via un parcours défavorable au refus.
8. Connaître les droits à l’information, à l’accès (1 mois, gratuit, exceptions), de rectification, d’opposition (prospection commerciale absolue) et à la portabilité.
9. Savoir encadrer mineurs et décisions automatisées : majorité numérique (16 par défaut, 15 en France) et consentement conjoint <15 ans, puis interdiction principe Art. 22 et exceptions avec garanties.
10. Distinguer responsable de traitement et sous-traitant et rappeler l’accountability, ainsi que l’idée de contrôle a posteriori de la CNIL avec plafonds d’amendes.
11. Résoudre un cas pratique d’auteur de contenu : distinguer éditeur vs hébergeur, puis identifier le rôle actif qui conduit à une requalification (arrêt Google France 2010).
12. Citer les obligations DSA de modération : Article 16 signalement, Article 17 décision motivée, Article 20 réclamations internes gratuites et révision humaine.