Lernzettel: Principes fondamentaux du RGPD

📋 Plan du Cours

1. Obligations RGPD et droit à réparation
2. Collecte loyale, licite et transparente
3. Données sensibles, infractions et NIR
4. Proportionnalité et minimisation des données
5. Base légale, durée de conservation et effacement
6. Sécurité des données, notification et information
7. Formalités CNIL et analyses d’impact
8. Transferts hors UE : interdiction et mécanismes
9. Décision d’adéquation et garanties appropriées
10. Accountability : DPO, registre et privacy by design
11. Étude d’impact, procédures et audits RGPD
12. Droits des personnes : consentement et information

📖 1. Obligations RGPD et droit à réparation

🔑 Notions clés & Définitions

• Responsable de traitement : Personne ou organisme qui détermine les finalités et les moyens du traitement de données personnelles.
• Sous-traitant : Personne ou organisme qui traite des données personnelles pour le compte du responsable de traitement.
• Droit à réparation RGPD : Droit pour toute personne ayant subi un dommage du fait d’une violation du RGPD d’obtenir réparation.
• Article 82 RGPD : Article du RGPD qui fonde le droit à réparation en cas de violation causant un dommage matériel ou moral.
• CJUE Poste autrichienne : Décision de la CJUE précisant les conditions cumulatives du droit à réparation au titre de l’article 82.

📝 Points essentiels

• En cas de violation du RGPD, l’article 82 ouvre un droit à réparation contre le responsable de traitement ou le sous-traitant.
• Le droit à réparation suppose trois conditions cumulatives : violation du RGPD, dommage matériel ou moral, et lien de causalité entre violation et dommage.
• La collecte et les autres étapes du cycle de vie de la donnée déclenchent des obligations RGPD spécifiques.
• Les exigences de collecte loyale, licite et transparente s’apprécient du point de vue de la personne concernée.
• La collecte loyale implique une collecte directement auprès de la personne concernée, la collecte indirecte étant en principe interdite sauf dérogation prévue par un texte.
• La collecte déloyale peut être retenue même si les données sont accessibles en ligne, notamment lorsque l’administration collecte à l’insu des personnes.

💡 Astuce mémo

82 = 3 maillons : Violation + Dommage (matériel/moral) + Causalité (lien).

📖 2. Collecte loyale, licite et transparente

🔑 Notions clés & Définitions

• Collecte déloyale : Collecte déloyale : collecte de données à l’insu des personnes, même si les données sont accessibles sur internet.
• Données sensibles : Données sensibles : catégories de données dont le RGPD interdit en principe la collecte et le traitement.
• Données d’infraction : Données d’infraction : données relatives aux condamnations pénales et aux mesures de sûreté, soumises à un régime de contrôle strict.
• Numéro d’inscription au répertoire (NIR) : NIR : numéro national particulièrement encadré car il est signifiant, unique et pérenne, et facilite les croisements de fichiers.
• Droit à l’information : Droit à l’information : obligation d’informer la personne concernée sur l’auteur de la collecte, ses finalités et ses droits.

📝 Points essentiels

• Collecte déloyale : la collecte à l’insu des personnes est considérée comme déloyale, même si les données sont trouvables sur internet.
• Article 9 RGPD : interdiction de principe de collecter et traiter les données sensibles (origine, convictions, données génétiques/biométriques, santé, vie sexuelle, orientation).
• Exceptions Article 9 RGPD : consentement explicite, sauvegarde des intérêts vitaux si la personne ne peut consentir, ou intérêt public important proportionné et respectueux des droits.
• Article 10 RGPD : les données relatives aux condamnations pénales ou mesures de sûreté ne peuvent être traitées que sous le contrôle de l’autorité publique.
• Exception Article 10 RGPD : les cabinets d’avocats peuvent traiter ces données pour les besoins stricts de leurs missions légales.
• NIR : donnée signifiant (sexe, date et lieu de naissance), unique et pérenne, fiable (certifié par l’INSEE), facilitant les croisements et pouvant être reconstituée facilement.

💡 Astuce mémo

Déloyale = « à l’insu » ; Licite = « pas d’interdits » ; Transparente = « on dit qui, pourquoi, et quels droits ».

📖 3. Données sensibles, infractions et NIR

🔑 Notions clés & Définitions

• Données sensibles : Données sensibles : catégories de données dont le traitement est particulièrement encadré en raison de leur caractère plus intrusif ou risqué.
• NIR : NIR : numéro d’inscription au répertoire, identifiant utilisé dans certains traitements sous conditions strictes d’autorisation.
• Droit à l’information : Droit à l’information : obligation d’informer la personne sur l’auteur de la collecte, les finalités et ses droits.
• Principe de proportionnalité : Principe de proportionnalité : exigence que les données et activités de traitement restent limitées à ce qui est nécessaire.
• Minimisation des données : Minimisation des données : collecte limitée aux données adéquates, pertinentes et strictement nécessaires pour la finalité visée.

📝 Points essentiels

• Le décret du 19 avril 2019 autorise le recours au NIR pour la gestion RH, le dépistage des cancers et le prélèvement à la source.
• La personne concernée doit être informée de l’auteur de la collecte, des finalités et de ses droits, ce qui correspond au droit à l’information.
• La transparence ne vaut pas toujours consentement : parfois le consentement est requis, parfois une simple information suffit.
• L’article 5 du RGPD impose des données adéquates, pertinentes et limitées à ce qui est nécessaire, ce qui fonde la minimisation.
• Le double contrôle de proportionnalité compare d’abord la finalité à l’activité du responsable, puis la nature des données à l’activité.
• Une vidéosurveillance continue généralisée dans un SP social ou éducatif serait manifestement disproportionnée selon l’exemple du cours.

💡 Astuce mémo

Transparence = Auteur + Finalités + Droits ; Proportionnalité = Finalité↔Activité puis Données↔Activité.

📖 4. Proportionnalité et minimisation des données

🔑 Notions clés & Définitions

• Minimisation des données : Principe de traitement qui limite la collecte et l’usage des données à ce qui est strictement nécessaire à la finalité poursuivie.
• Proportionnalité des bases juridiques : Exigence selon laquelle le responsable choisit une base juridique appropriée et justifie son recours, sans hiérarchie automatique entre bases.
• Durée de conservation limitée : Principe imposant que les données soient conservées uniquement le temps nécessaire au regard de la finalité du traitement.
• Archives intermédiaires : Catégorie de conservation permettant de conserver des données au-delà du délai normal lorsque des obligations légales ou contentieuses l’exigent.
• Violation de données personnelles : Événement de sécurité entraînant, de façon accidentelle ou illicite, la destruction, la perte, l’altération ou la divulgation non autorisée des données.

📝 Points essentiels

• Plusieurs bases juridiques peuvent être invoquées si le choix est justifié, sans hiérarchie automatique entre elles.
• Le responsable doit anticiper un contrôle et documenter le choix de la base juridique retenue.
• La conservation doit être limitée à ce qui est nécessaire à la finalité, sans durée fixe imposée.
• La durée de conservation doit être proportionnelle à la finalité et peut varier selon la catégorie de données.
• L’information de la durée doit être fournie lors de la collecte et inscrite dans le registre, avec révision si la finalité évolue.
• Principe d’effacement : les données sont supprimées à l’issue de la durée déterminée, sauf exceptions prévues par le RGPD.

💡 Astuce mémo

Base juridique = choix justifié et documenté ; durée = nécessaire à la finalité puis effacement (sauf archives/garanties).

📖 5. Base légale, durée de conservation et effacement

🔑 Notions clés & Définitions

• Notification à la CNIL : Procédure RGPD imposant d’informer la CNIL en cas de violation de données personnelles.
• Information des personnes concernées : Obligation RGPD d’avertir les personnes dont les données ont été touchées lorsque certains risques existent.
• Article 33 RGPD : Article du RGPD qui fixe le délai et le contenu de la notification à la CNIL en cas de violation.
• Article 34 RGPD : Article du RGPD qui encadre les conditions et dérogations de l’information des personnes concernées.
• Article 36 RGPD : Article du RGPD imposant la consultation obligatoire de la CNIL pour certaines analyses d’impact.

📝 Points essentiels

• En cas de violation, la notification à la CNIL doit être faite dans les 72h.
• La notification à la CNIL doit décrire la violation, ses conséquences et les mesures déjà prises.
• Une notification échelonnée est possible si toutes les informations ne peuvent pas être communiquées d’un coup.
• L’information des personnes concernées est requise si la violation présente un risque élevé pour leurs droits.
• Les dérogations à l’information incluent le chiffrement rendant les données illisibles, des mesures ultérieures efficaces, ou un effort disproportionné menant à une communication publique.
• Le RGPD supprime la plupart des formalités préalables CNIL, mais l’article 36 impose une consultation obligatoire pour certaines analyses d’impact.

💡 Astuce mémo

72h → CNIL (art. 33) ; Risque élevé → Personnes (art. 34) ; Consultation CNIL → Analyses d’impact (art. 36).

📖 6. Sécurité des données, notification et information

🔑 Notions clés & Définitions

• Article 49 RGPD : Exception du RGPD permettant, dans des cas précis, de transférer des données hors UE malgré l’interdiction de principe.
• Consentement explicite : Manifestation de volonté claire et compréhensible, donnée par la personne concernée après information des risques liés au transfert.
• Décision d’adéquation : Acte par lequel la Commission européenne constate qu’un pays tiers offre un niveau de protection des données adéquat.
• SCHREMS II : Arrêt de la CJUE (2020) qui a annulé une décision d’adéquation UE–États-Unis en raison de limites insuffisantes des accès et des recours.
• Data Privacy Framework : Accord UE–États-Unis (2023) visant à fonder une nouvelle décision d’adéquation après les critiques soulevées par SCHREMS II.

📝 Points essentiels

• Les dérogations de l’article 49 RGPD sont d’interprétation stricte et doivent rester ponctuelles.
• L’article 49 RGPD permet notamment le transfert en cas de consentement explicite informé, d’exécution d’un contrat, de motifs importants d’intérêt public, ou de sauvegarde des intérêts vitaux quand la personne ne peut se
• La CNIL considère que l’article 49 RGPD ne doit pas servir à des transferts répétitifs ou massifs.
• Une décision d’adéquation (art. 45 RGPD) entraîne la libre circulation des données vers le pays tiers sans autorisation ni procédure supplémentaire.
• Les critères d’évaluation de l’adéquation reposent sur un faisceau d’indices : État de droit et libertés, effectivité des recours, autorité de contrôle indépendante, et engagements internationaux.
• Les décisions d’adéquation peuvent être annulées par le juge, comme l’illustre SCHREMS II (CJUE, 2020).

💡 Astuce mémo

49 = « ponctuel » : consentement informé, contrat, intérêt public, vitaux (pas répétitif/massif). Adéquation = « libre circulation » (art. 45) mais annulable (SCHREMS II).

📖 7. Formalités CNIL et analyses d’impact

🔑 Notions clés & Définitions

• Limitation d’accès pour sécurité nationale : Mesure qui restreint l’accès aux données afin de préserver la sécurité nationale.
• Mécanisme de recours américain : Dispositif de contestation prévoyant un officier du renseignement et un tribunal indépendant rattaché au ministère de la Justice.
• Garanties appropriées (article 46 RGPD) : Exigence permettant d’autoriser un transfert hors UE uniquement si des protections adéquates sont mises en place et opposables aux personnes.
• Accountability (article 24 RGPD) : Obligation pour les organisations de démontrer leur conformité au RGPD grâce à des procédures internes et à la documentation.
• DPO : Délégué à la protection des données chargé d’incarner et d’organiser le contrôle interne de la conformité RGPD.

📝 Points essentiels

• En l’absence de décision d’adéquation, un transfert n’est possible que si des garanties appropriées sont prévues.
• Les personnes doivent disposer de droits opposables et de voies de recours effectives en cas de transfert.
• Les garanties appropriées peuvent prendre la forme d’un instrument juridiquement contraignant entre autorités publiques.
• Les clauses contractuelles types doivent être adoptées ou approuvées par la Commission européenne et reprises à l’identique dans les contrats.
• Les codes de conduite doivent être élaborés par des organismes professionnels et validés par l’autorité nationale ou la Commission.
• La certification RGPD vérifie l’existence de garanties appropriées pour le transfert vers des pays tiers.

💡 Astuce mémo

Sans adéquation → garanties; sans garanties → pas de transfert; sans accountability → pas de preuve.

📖 8. Transferts hors UE : interdiction et mécanismes

🔑 Notions clés & Définitions

• Transferts hors UE : Opérations de communication ou d’accès à des données personnelles vers un pays situé en dehors de l’UE, soumises à des exigences RGPD spécifiques.
• Garanties prévues : Ensemble de mécanismes RGPD permettant d’assurer un niveau de protection adéquat lors d’un transfert hors UE.
• Registre des activités de traitement : Document RGPD recensant les traitements et précisant notamment les transferts hors UE et les garanties associées.
• Étude d’impact (article 35 RGPD) : Évaluation exigée pour certains traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes.

📝 Points essentiels

• Le registre des activités doit mentionner les transferts hors UE ainsi que les garanties prévues pour ces transferts.
• Le registre doit aussi préciser les finalités, les catégories de personnes et de données, les destinataires, ainsi que les durées de conservation et les mesures de sécurité.
• L’exception de registre pour les structures de moins de 250 agents ne s’applique pas si le traitement comporte un risque pour les droits des personnes, s’il n’est pas occasionnel, ou s’il porte sur des données sensibles.
• Le DPO gère en pratique le registre des activités de traitement.
• Une étude d’impact (article 35 RGPD) est requise lorsqu’un type de traitement est susceptible de présenter un niveau de risque élevé pour les droits et libertés des personnes.

💡 Astuce mémo

Registre = Transferts + Garanties : si ça sort de l’UE, ça doit être écrit et justifié.

📖 9. Décision d’adéquation et garanties appropriées

🔑 Notions clés & Définitions

• Décision d’adéquation : Décision officielle qui constate qu’un pays ou un territoire assure un niveau de protection des données essentiellement équivalent à celui du RGPD.
• Garanties appropriées : Mécanismes contractuels ou organisationnels permettant de compenser l’absence d’adéquation et d’assurer un niveau de protection adéquat des données.
• Transferts internationaux : Opérations de communication ou de mise à disposition de données personnelles vers un pays situé hors de l’Espace économique européen.
• Niveau de protection équivalent : Exigence selon laquelle la protection offerte par le destinataire doit être comparable à celle garantie par le RGPD.

📝 Points essentiels

• La décision d’adéquation vise à autoriser les transferts vers un pays offrant un niveau de protection essentiellement équivalent au RGPD.
• Les garanties appropriées servent de base lorsque l’adéquation n’existe pas, afin d’encadrer le transfert et de protéger les droits des personnes.
• Les garanties doivent être conçues pour assurer un niveau de protection comparable à celui exigé par le RGPD.
• Le choix entre décision d’adéquation et garanties appropriées dépend du statut du pays destinataire et du cadre de transfert.
• En pratique, les garanties prennent souvent la forme d’engagements encadrant les obligations du destinataire et les droits des personnes concernées.

💡 Astuce mémo

Adéquation = “OK d’emblée” ; Garanties = “on compense” quand ce n’est pas équivalent.

📖 10. Accountability : DPO, registre et privacy by design

🔑 Notions clés & Définitions

• Accountability RGPD : Principe d’accountability qui impose au responsable de traitement de pouvoir démontrer sa conformité au RGPD, pas seulement de l’appliquer.
• DPO : Délégué à la protection des données chargé de piloter et d’encadrer les actions de conformité liées au traitement des données personnelles.
• Registre des activités de traitement : Document tenu pour tracer les traitements réalisés, utile pour prouver la conformité et organiser la gouvernance des données.
• Privacy by design : Approche consistant à intégrer la protection des données dès la conception des traitements et des choix organisationnels, afin de limiter les risques dès le départ.
• Formation et sensibilisation RGPD : Actions de formation ou de sensibilisation destinées à faire comprendre le cadre RGPD aux personnes qui manipulent ou influencent les traitements.

📝 Points essentiels

• La politique de mise en conformité doit inclure des opérations de sensibilisation ou de formation à la réglementation RGPD.
• La mission du DPO est prévue par l’article 39 du RGPD.
• Les formations/sensibilisations servent à améliorer la compréhension d’un cadre complexe et à apporter une preuve de bonne foi en cas de contrôle ou contentieux.
• Les actions de formation et de sensibilisation doivent être documentées pour pouvoir être démontrées.
• Le RGPD encourage la réalisation d’audits pour vérifier le respect du cadre de protection des données en pratique.
• Les audits sont pilotés par le DPO.

💡 Astuce mémo

DPO = Démontrer Par des preuves : former + auditer + documenter.

📖 11. Étude d’impact, procédures et audits RGPD

🔑 Notions clés & Définitions

• Consentement explicite : Le consentement explicite est une manifestation claire, libre, spécifique, éclairée et univoque par laquelle la personne accepte un traitement via une déclaration ou un acte positif.
• Retrait du consentement : Le retrait du consentement est le droit de la personne de mettre fin à son accord à tout moment, sans effet rétroactif sur le traitement passé.
• Droit à l’information : Le droit à l’information impose au responsable de fournir des informations précises sur le traitement, selon que les données sont collectées directement ou indirectement.
• Droit d’accès : Le droit d’accès permet à la personne concernée de savoir si des données la concernant sont traitées et d’obtenir l’accès aux informations connexes.
• Droit à l’effacement : Le droit à l’effacement permet d’obtenir la suppression des données dans des cas prévus par le RGPD, notamment quand elles ne sont plus nécessaires ou quand le traitement est illicite.

📝 Points essentiels

• Le responsable doit être en mesure de prouver que la personne a consenti au traitement.
• Le consentement doit être univoque et reposer sur des actes positifs clairs (ex. case à cocher, paramétrage technique volontaire).
• Le silence, les cases précochées par défaut ou l’inactivité ne constituent pas un consentement valable.
• Art. 13 RGPD : pour des données collectées directement, l’information porte notamment sur l’identité du responsable/DPO, les finalités, la base juridique, les destinataires, les transferts hors UE, la durée et les droits
• Art. 14 RGPD : pour des données collectées indirectement, l’information inclut en plus les catégories de données et la source, avec un délai raisonnable (≤ 1 mois) et des exceptions (impossibilité, secret professionnel,
• Art. 15 RGPD : la personne peut obtenir une copie ou un extrait correspondant à une reproduction fidèle des données, selon la CJUE du 4 mai 2023.

💡 Astuce mémo

Consentement = « acte positif clair » ; Info = « direct (art. 13) / indirect (art. 14) » ; Accès = « copie fidèle » ; Effacement = « plus nécessaire ou traitement illicite ».

📖 12. Droits des personnes : consentement et information

🔑 Notions clés & Définitions

• Consentement : Le consentement est une base de licéité du traitement qui peut être retirée, entraînant des conséquences sur la poursuite du traitement selon le droit applicable.
• Droit à l’effacement : Le droit à l’effacement permet d’obtenir la suppression des données personnelles dans les cas prévus par le RGPD.
• Droit à la limitation du traitement : Le droit à la limitation restreint l’usage des données lorsque certaines conditions liées à l’exactitude ou à la défense en justice sont réunies.
• Droit à la portabilité des données : Le droit à la portabilité donne la possibilité de recevoir les données dans un format exploitable et de les transmettre à un autre responsable.
• Droit d’opposition : Le droit d’opposition permet de s’opposer à un traitement à tout moment pour des raisons liées à la situation particulière, dans les cas du RGPD.

📝 Points essentiels

• Retrait du consentement : l’effacement est dû si le traitement repose sur le consentement et qu’il est retiré sans autre fondement juridique.
• Effacement : la suppression s’impose notamment quand les données ne sont plus nécessaires aux finalités, ou quand le traitement est illicite, ou pour respecter une obligation légale.
• Effacement : l’opposition au traitement peut ouvrir le droit à l’effacement selon les conditions du RGPD.
• Limitations à l’effacement : le traitement peut être maintenu si nécessaire à la liberté d’expression, au respect d’une obligation légale, ou à des missions d’intérêt public.
• Limitation (art. 18) : la restriction s’applique quand l’exactitude des données est contestée par la personne concernée.
• Limitation (art. 18) : la restriction peut aussi viser les données non nécessaires au responsable mais utiles à la personne pour constater, exercer ou défendre ses droits en justice.

💡 Astuce mémo

Effacement = “ça ne sert plus / c’est illégal / obligation” ; Limitation = “je conteste ou je me défends”.

📅 Repères chronologiques

📊 Tableaux de synthèse

Collecte : loyauté vs licéité vs transparence

⚠️ Pièges & confusions fréquents

1. Confondre droit à l’information et obligation de recueillir le consentement : l’information est systématique, le consentement n’est requis que pour certaines bases.
2. Croire que des données trouvables sur internet rendent la collecte loyale : la collecte à l’insu peut rester déloyale (notamment pour l’administration/DRH).
3. Oublier les 3 conditions cumulatives du droit à réparation (violation + dommage matériel/moral + causalité) : une seule condition ne suffit pas.
4. Penser qu’il existe une hiérarchie entre les bases légales de l’article 6 : plusieurs bases peuvent être invoquées si le choix est approprié et documenté.
5. Confondre minimisation/proportionnalité avec une durée fixe : le RGPD impose une durée limitée à ce qui est nécessaire, sans durée universelle.
6. Croire que la notification CNIL et l’information des personnes sont automatiques et identiques : CNIL dans les 72h, information des personnes seulement si risque élevé, avec dérogations.
7. Se tromper sur les transferts hors UE : en l’absence d’adéquation, il faut des garanties appropriées (art. 46), et les dérogations de l’art. 49 doivent rester ponctuelles (pas répétitives/massives).

✅ Checklist Examen

1. Expliquer le droit à réparation de l’article 82 RGPD et les trois conditions cumulatives (violation, dommage matériel/moral, causalité).
2. Décrire la collecte loyale : collecte directement auprès de la personne, interdiction de principe de la collecte indirecte, et l’exemple de la collecte déloyale par l’administration/DRH.
3. Définir la collecte licite : interdiction de principe des données sensibles (art. 9) et des données d’infraction (art. 10), ainsi que l’exception pour les cabinets d’avocats.
4. Présenter le régime du NIR : caractère signifiant/unique/pérenne/reconstituable, et l’idée que l’encadrement relève des conditions fixées par les États membres (art. 87) avec exemples français.
5. Décrire la collecte transparente : informer l’auteur, les finalités et les droits, et distinguer transparence et consentement (parfois l’un suffit, parfois le consentement est requis).
6. Appliquer le principe de minimisation/proportionnalité (art. 5) : données adéquates/pertinentes/limitées à ce qui est nécessaire, avec le double contrôle finalité↔activité puis nature des données↔activité.
7. Lister les bases légales de l’article 6 RGPD et rappeler l’absence de hiérarchie automatique, avec obligation d’anticiper le contrôle et de documenter le choix.
8. Expliquer la durée de conservation : conservation limitée à la finalité, information lors de la collecte, inscription au registre, révision si finalité évolue, puis effacement à l’issue (avec archives intermédiaires/gar­
9. Expliquer la sécurité des données (art. 32) et définir la violation de données personnelles ; distinguer notification CNIL (art. 33, 72h) et information des personnes (art. 34) en cas de risque élevé avec dérogations.
10. Exposer les formalités CNIL résiduelles : principe d’internalisation, mais consultation obligatoire (art. 36) pour certaines analyses d’impact, et maintien de formalités en droit français pour certaines données sensibles
11. Présenter le cadre des transferts : libre circulation dans l’UE, interdiction vers pays tiers sans niveau de protection suffisant, et les mécanismes pour y remédier (art. 49, art. 45, art. 46).
12. Pour les obligations permanentes, décrire l’accountability (art. 24) : rôle du DPO (art. 39), registre (art. 30) avec exceptions <250 agents, étude d’impact (art. 35) et privacy by design (art. 25), puis droits desperson