Lernzettel: Protection des données personnelles et RGPD

1. 📌 L'essentiel

• Le RGPD vise à garantir la vie privée, la sécurité et la transparence dans le traitement des données personnelles.
• Une donnée personnelle est toute information permettant d’identifier une personne, ou indirectement.
• La responsabilité du traitement incombe au responsable, qui doit respecter des principes fondamentaux : minimisation, finalité, transparence.
• Les droits clés des personnes : rect, effacement, opposition, accès.
• La violation de données doit être signalée à la CNIL dans les 72h.
• La conformité repose sur des mesures techniques, organisationnelles et la responsabilisation (accountability).
• La CNIL contrôle via des audits, réclamations et signalements.
• Sanctions possibles : amendes jusqu’à 20 millions € ou 4% du CA global.
• La protection doit être intégrée dès la conception (Privacy by Design).
• La durée de conservation doit être limitée à ce qui est nécessaire.

2. 🧩 Structures & Composants clés

• Données personnelles — informations permettant d’identifier une personne.
• CNIL — autorité française de contrôle de la protection des données.
• Consentement — action claire et affirmative pour traitement.
• Violation de données — divulgation, perte ou destruction non autorisée.
• Principes RGPD — minimisation, finalité, proportionnalité, transparence.
• Droits des personnes — rectification, effacement, opposition, accès.
• Responsable de traitement — définit finalités, moyens, sécurité.
• Sous-traitant — traite les données pour le compte du responsable.
• Privacy by Design — intégration de la sécurité dès la conception.
• Sanctions — amendes, interdictions, avertissements.

3. 🔬 Fonctions, Mécanismes & Relations

• Flux de traitement :
  • Données → Responsable de traitement → Sous-traitant
  • Personne concernée → Droit d’accès, rectification, effacement
• Organisation hiérarchique :

  Responsable
   ├─ DPO (si traitement à grande échelle)
   └─ Sous-traitant (traitement limité, conforme)
  

• Relations cause-effet :
  • Collecte non conforme → sanctions
  • Non notification d’une violation → amendes
• Principes opérationnels :
  • Minimisation → collecte uniquement nécessaire
  • Sécurité → mesures techniques (chiffrement, tests)
  • Transparence → informations claires et gratuites

4. Tableau comparatif : Types de données sensibles

5. 🗂️ Diagramme hiérarchique

Protection des données
 ├─ Principes fondamentaux
 │    ├─ Minimisation
 │    ├─ Finalité
 │    ├─ Transparence
 │    └─ Proportionnalité
 ├─ Droits des personnes
 │    ├─ Rectification
 │    ├─ Effacement
 │    ├─ Opposition
 │    └─ Accès
 ├─ Responsabilités
 │    ├─ Finalités et moyens
 │    ├─ Sécurité
 │    └─ Information
 ├─ Violations
 │    ├─ Notification 72h
 │    └─ Mesures correctives
 └─ Contrôles & Sanctions

6. ⚠️ Pièges & Confusions fréquentes

• Confondre données personnelles et données sensibles.
• Négliger la nécessité du consentement clair et spécifique.
• Oublier la notification en cas de violation dans les 72h.
• Confondre responsable et sous-traitant.
• Sous-estimer l’obligation de Privacy by Design.
• Penser que la durée de conservation est illimitée.
• Confondre la CNIL avec d’autres autorités.
• Négliger le rôle du DPO dans certains traitements.
• Mal appliquer les principes de minimisation et de proportionnalité.

7. ✅ Checklist Examen Final

• Définir une donnée personnelle.
• Citer les principes fondamentaux du RGPD.
• Expliquer le rôle de la CNIL.
• Décrire les droits des personnes.
• Indiquer la durée de conservation.
• Expliquer la notion de Privacy by Design.
• Préciser les obligations en cas de violation.
• Différencier responsable et sous-traitant.
• Connaître les sanctions possibles.
• Savoir quand et comment notifier une violation.
• Identifier les données sensibles.
• Comprendre le rôle du DPO.
• Maîtriser le flux de traitement des données.
• Connaître les modalités de contrôle de la CNIL.
• Savoir rédiger une politique de confidentialité claire.
• Assimiler la notion de responsabilisation (accountability).