Scheda di revisione: Introduction au droit des données personnelles

📋 Plan du Cours

1. Droit des données personnelles et numérisation
2. Loi Informatique et Libertés de 1978
3. Notion de données à caractère personnel
4. Données sensibles et catégories particulières
5. Changements d’époque et modèle européen
6. Droit européen et guichet unique
7. Accountability et responsabilité des acteurs
8. Registre des traitements et exigences
9. Délais de conservation et archivage des données
10. Délégué à la protection des données DPO
11. Sanctions CNIL et chaîne répressive
12. Données de santé et régimes de formalités

📖 1. Droit des données personnelles et numérisation

🔑 Notions clés & Définitions

• Paquet numérique européen : Ensemble de textes européens adoptés pour répondre aux changements techniques et sociétaux liés à la numérisation.
• Loi Informatique et Libertés de 1978 : Loi de 1978 qui encadre l’usage de l’informatique pour traiter des données personnelles, notamment par l’État.
• CNIL : Autorité chargée de contrôler certains traitements de données personnelles, notamment via l’autorisation préalable prévue à l’origine.
• RGPD : Règlement européen qui modernise la mise en œuvre des principes issus de la loi de 1978 sans les bouleverser sur le fond.
• Données à caractère personnel : Toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement, par des moyens permettant l’identification.

📝 Points essentiels

• Le droit européen de la numérisation a été construit avant 2017 avec une logique différente du droit français classique.
• Avant 1978, des premières législations sur les données personnelles apparaissent en 1970 en Hesse (Allemagne) et en 1976 en Suède.
• La loi de 1978 est adoptée car l’informatique sort des laboratoires et devient accessible à des acteurs économiques et publics.
• En 1978, les personnes morales de droit public doivent obtenir une autorisation préalable de la CNIL pour leurs traitements.
• En 1978, les traitements par des personnes morales de droit privé relèvent plutôt d’un régime de déclaration préalable.
• De 1978 à 2016, l’évolution technologique (vitesse, stockage, interconnexion) rend la numérisation de plus en plus large et utile à de nouveaux services.

💡 Astuce mémo

1978 = « sortie des labos » + CNIL : public = autorisation, privé = déclaration.

📖 2. Loi Informatique et Libertés de 1978

🔑 Notions clés & Définitions

• Données à caractère personnel sensibles : Données à caractère personnel dont le traitement est en principe interdit, sauf exceptions prévues par les textes.
• Consentement explicite : Manifestation de volonté claire et spécifique permettant de lever l’interdiction pour certaines données sensibles.
• Numéro de sécurité sociale (NIR) : Donnée directement identifiante dont l’usage est strictement encadré par la loi.
• Données anonymisées : Données rendues irréversiblement non réidentifiables, qui ne relèvent plus du régime des données personnelles.
• Données pseudonymisées : Données à caractère personnel rendues indirectement attribuables, avec possibilité de réidentification via des informations supplémentaires.

📝 Points essentiels

• Les données sensibles sont interdites sauf si le consentement explicite est donné ou si une exception légale s’applique.
• Une exception existe quand le traitement est nécessaire au droit du travail, à la sécurité sociale ou à la protection sociale.
• Le traitement peut aussi être autorisé s’il est nécessaire aux intérêts vitaux de la personne concernée ou d’une autre personne physique.
• Le traitement peut être réalisé par une fondation, une association ou un organisme à but non lucratif dans le cadre de leurs activités légitimes avec garanties appropriées.
• Le traitement est permis si les données ont été rendues manifestement publiques par la personne concernée.
• Le NIR ne peut être utilisé que pour une finalité exclusivement scientifique, et après une opération cryptographique préalable au traitement.

💡 Astuce mémo

Sensibles = interdit sauf “S.E.P.A.” : Spécifique (consentement explicite), Exception (droit social), Intérêts vitaux, Publicité/organisme avec garanties.

📖 3. Notion de données à caractère personnel

🔑 Notions clés & Définitions

• Données à caractère personnel : Les données à caractère personnel sont des informations permettant d’identifier directement ou indirectement une personne concernée.
• Consentement : Le consentement est une manifestation de volonté de la personne concernée autorisant un traitement de ses données.
• Loyauté : La loyauté impose que la collecte et le traitement respectent une finalité déterminée, explicite et légitime.
• Licéité : La licéité exige que la collecte et le traitement ne contreviennent à aucune règle législative ou réglementaire.
• Transparence : La transparence impose d’informer la personne concernée de façon concise, claire et précise sur le traitement.

📝 Points essentiels

• Le consentement doit être libre, spécifique, univoque et éclairé pour être valable.
• Le responsable du traitement doit pouvoir démontrer que la personne a donné son consentement.
• La demande de consentement doit être claire, simple, compréhensible et aisément accessible.
• La personne peut retirer son consentement à tout moment, sans remettre en cause le traitement déjà effectué.
• Un traitement doit poursuivre une finalité déterminée, explicite et légitime, sans incompatibilité avec cette finalité.
• La collecte ne doit heurter aucune disposition législative ou réglementaire contraire.

💡 Astuce mémo

Consentement = L-S-U-E : Libre, Spécifique, Univoque, Éclairé.

📖 4. Données sensibles et catégories particulières

🔑 Notions clés & Définitions

• Données sensibles : Données sensibles : catégories de données nécessitant un niveau de protection renforcé en raison de leur impact potentiel sur les personnes.
• Catégories particulières de données : Catégories particulières : données soumises à des exigences spécifiques de traitement et de sécurité, car elles peuvent entraîner des risques élevés.
• PSSI : PSSI : document de référence qui organise la protection des systèmes et des données, avec des mesures adaptées aux risques identifiés.
• RGPD : RGPD : règlement européen qui encadre le traitement des données personnelles et impose des obligations de conformité, notamment via l’accountability.
• Guichet unique : Guichet unique : mécanisme du RGPD où une entreprise traite principalement avec l’autorité de contrôle de son établissement principal.

📝 Points essentiels

• Menaces, risques et impacts : un PSSI part des menaces, les relie aux impacts possibles et évalue leur criticité avant de choisir les mesures.
• Bénéfices attendus d’un PSSI : amélioration de la sécurité, réduction des coûts, renforcement de l’image de marque, protection du patrimoine et réponse aux obligations de moyen.
• RGPD et cloud : il faut savoir où les services traitent et stockent les données.
• RGPD et cloud : les contrats doivent préciser le traitement des données sensibles (DCP) par les prestataires.
• RGPD et cloud : seules les données nécessaires doivent être collectées, avec une attention renforcée sur les données sensibles.
• RGPD et cloud : des mesures doivent empêcher perte, détérioration et usage non autorisé, et garantir l’effacement à l’arrêt du service.

💡 Astuce mémo

PSSI = Menaces → Impacts (criticité) → Mesures ; Cloud RGPD = Où ? Contrat ? Nécessaire ? Protéger ? Effacer à l’arrêt.

📖 5. Changements d’époque et modèle européen

🔑 Notions clés & Définitions

• Mentions d’information : Ensemble des informations à fournir aux personnes sur le traitement, notamment via la politique de confidentialité.
• Politique de confidentialité : Document qui décrit comment les données personnelles sont collectées, utilisées, protégées et quels droits sont offerts aux personnes.
• Recueil du consentement : Modalités permettant d’obtenir et de tracer le consentement des personnes concernées lorsque le traitement le requiert.
• Sous-traitance : Relation contractuelle où un prestataire traite des données pour le compte du responsable de traitement.
• Co-traitance : Situation où plusieurs acteurs déterminent conjointement les finalités et moyens du traitement des données.

📝 Points essentiels

• La documentation « information des personnes » couvre les mentions, la politique de confidentialité, les modèles de recueil du consentement et les modalités d’exercice des droits (accès, rectification, suppression).
• La documentation « rôles et responsabilités » inclut les contrats (sous-traitance, co-traitance, partenaires commerciaux, collaborateurs) et les éléments de sécurité (PRA, sauvegarde, archivage).
• Les procédures internes en cas de violation des données personnelles doivent prévoir les actions et la préparation de lettres à la CNIL ou aux personnes concernées.
• La désignation d’un DPO (délégué à la protection des données) peut être envisagée selon le contexte du traitement.
• Privacy by design, privacy by défaut et security by design sont des exigences opérationnelles à intégrer dans la conception et le fonctionnement des traitements.

💡 Astuce mémo

Info + droits + contrats + sécurité : « I-D-C-S ».

📖 6. Droit européen et guichet unique

🔑 Notions clés & Définitions

• RGPD : Règlement général sur la protection des données qui encadre les traitements de données personnelles et impose des obligations de conformité et de gestion des risques.
• PIA : Analyse d’impact relative à la protection des données, document obligatoire quand un traitement est susceptible d’engendrer des risques élevés pour les droits et libertés.
• Autorité de contrôle : Institution chargée de surveiller l’application du RGPD et d’émettre un avis écrit lors de la consultation en cas de risques résiduels.
• CNIL : Autorité de contrôle française compétente pour recevoir les demandes de consultation liées aux analyses d’impact et rendre un avis écrit.

📝 Points essentiels

• Le RGPD vise notamment trois catégories de traitements à risques élevés : évaluation systématique, traitement à grande échelle, et données particulières (sensibles).
• Le PIA devient obligatoire si le traitement remplit au moins 2 critères parmi : surveillance automatique, données sensibles, grande échelle, croisement des données, personnes vulnérables, évaluation/scoring (profilage),
• Le PIA est aussi requis en cas de décision automatique produisant un effet légal ou excluant un droit/avantage, ainsi qu’en cas d’usage innovant ou d’utilisation de NTIC.
• Le PIA n’est pas nécessaire si le traitement n’est pas susceptible d’engendrer des risques élevés ou s’il est déjà autorisé par une autorisation unitaire/anciennes formalités simplifiées, sans changement du traitement et
• Le PIA doit contenir : description systématique des opérations, évaluation de la nécessité et de la proportionnalité, évaluation des risques pour les droits et libertés, et mesures existantes/prévues pour la conformité.
• Lorsque le PIA révèle des risques résiduels non atténués, la consultation de l’autorité de contrôle est nécessaire et l’autorité dispose de 8 semaines pour un avis écrit, prolongeables de 6 semaines en cas de complexité,

💡 Astuce mémo

PIA = 2+ risques : Surveillance + Sensibles + Grande échelle + Vulnérables + Scoring + Décision auto → si risques résiduels, CNIL en 8 semaines.

📖 7. Accountability et responsabilité des acteurs

🔑 Notions clés & Définitions

• Accountability RGPD : Principe de responsabilité imposant aux acteurs de démontrer la conformité de leurs traitements de données, notamment sur les finalités, les acteurs, les flux, la durée et la sécurité.
• Sous-traitant : Acteur externe qui traite des données pour le compte d’un responsable de traitement, nécessitant d’être identifié dans la documentation de conformité.
• Transfert hors UE : Mouvement de données personnelles vers un pays ou une organisation situés hors de l’Union européenne, à repérer dans les flux pour évaluer les exigences applicables.
• Durée de conservation : Période pendant laquelle des données personnelles sont conservées avant suppression ou archivage, à définir et justifier selon la finalité du traitement.
• Délégué à la protection des données : Personne désignée pour piloter la conformité au RGPD au sein de l’organisme, avec des missions d’information, de conseil et de contrôle.

📝 Points essentiels

• La documentation doit couvrir les objectifs du traitement, les acteurs internes/externes (dont les sous-traitants), les flux avec origine et destination, et les durées de conservation.
• Les flux doivent permettre d’identifier les transferts de données hors UE, afin d’évaluer les impacts de conformité.
• Les mesures de sécurité techniques et organisationnelles doivent être décrites dans le cadre de l’accountability.
• Le respect des délais de traitement s’analyse au regard de l’Art. 6, 5° de la CNIL et de l’Art. 5 e) RGPD.
• La durée de conservation se raisonne avec 4 repères : point de départ, cycle de conservation, quantum, et modalités de conservation.
• Archivage courant : base active, durée d’utilisation nécessaire à la finalité du traitement (données conservées pour l’usage courant).

💡 Astuce mémo

4 repères = Départ → Cycle → Quantum → Modalités.

📖 8. Registre des traitements et exigences

🔑 Notions clés & Définitions

• DPO : DPO : personne chargée de veiller à la conformité de l’organisme au règlement européen sur la protection des données.
• Délégué interne ou externe : Délégué interne ou externe : option d’organisation permettant de désigner un DPO au sein ou hors de la structure.
• Mutualisation du DPO : Mutualisation du DPO : désignation d’un même DPO pour plusieurs organismes sous des conditions permettant d’assurer ses missions.
• Violation de données personnelles : Violation de données personnelles : incident de sécurité entraînant accidentellement ou illicitement destruction, perte, altération, divulgation ou accès non autorisés.
• Registre des violations : Registre des violations : document interne retraçant les violations lorsque aucun risque n’est identifié pour les personnes concernées.

📝 Points essentiels

• Désignation du DPO : elle est encouragée en dehors des cas où elle est imposée par le cadre applicable.
• Profil du DPO : il doit avoir des connaissances spécialisées en droit et pratiques de protection des données, et une connaissance du secteur (recommandée de l’organisme).
• Indépendance du DPO : il doit disposer de qualités personnelles et d’un positionnement lui permettant d’exercer ses missions sans indépendance compromise.
• Missions principales du DPO : informer et conseiller le responsable de traitement ou le sous-traitant et leurs employés, contrôler la conformité, superviser l’analyse d’impact et coopérer avec l’autorité de contrôle.
• Moyens du DPO : l’organisme doit l’impliquer dans toutes les questions de protection des données, lui fournir des ressources, garantir l’indépendance, faciliter l’accès aux traitements et éviter tout conflit d’intérêt.
• Organisation du DPO : il doit être joignable depuis chaque lieu d’établissement et capable de communiquer efficacement avec les personnes concernées et de coopérer avec l’autorité de contrôle.

💡 Astuce mémo

DPO = Compétence + Indépendance + Moyens + Joignabilité (CIMJ).

📖 9. Délais de conservation et archivage des données

🔑 Notions clés & Définitions

• Registre des violations : Le registre des violations est un document interne qui recense les violations de données et les mesures prises pour y remédier.
• Notification à l’autorité de contrôle : La notification à l’autorité de contrôle est l’information transmise dans un délai légal après une violation de données.
• Notification aux personnes concernées : La notification aux personnes concernées est l’information donnée aux individus touchés par une violation, lorsque le niveau de risque l’exige.
• Archivage des données : L’archivage des données regroupe les traitements conservant des données pour des finalités d’archivage d’intérêt public, notamment à des fins de recherche ou statistiques.

📝 Points essentiels

• En cas de violation, une notification doit être faite dans les 72h aux autorités et aux personnes concernées, sans retard injustifié.
• Si la violation n’engendre aucun risque pour les personnes, il suffit de la documenter dans un registre des violations.
• Si la violation présente un risque, une notification dans les 72h à l’autorité de contrôle s’ajoute à la documentation.
• Si la violation présente un risque élevé, les personnes concernées doivent être informées dans les meilleurs délais en plus de la notification à l’autorité.
• Le droit à l’effacement admet des exceptions, dont les fins archivistiques d’intérêt public pour la recherche scientifique ou historique ou à des fins statistiques.
• Le droit d’accès inclut la durée de conservation des données ou les critères qui déterminent cette durée.

💡 Astuce mémo

72h = autorité; personnes seulement si risque élevé; registre si aucun risque; archivage = exception à l’effacement.

📖 10. Délégué à la protection des données DPO

🔑 Notions clés & Définitions

• Liberté d’expression et d’information : Principe juridique permettant de traiter des données tout en tenant compte du droit de communiquer et d’accéder à l’information.
• Obligation légale : Fondement ou contrainte imposant un traitement de données lorsque la loi oblige l’organisation à agir.
• Motif d’intérêt public en santé : Justification permettant un traitement de données lorsque l’objectif relève de l’intérêt public dans le domaine de la santé.
• Fins archivistiques d’intérêt public : Finalités autorisant certains traitements pour des archives d’intérêt public, notamment pour la recherche scientifique, historique ou statistique.
• Constatation, exercice ou défense de droits en justice : Finalité permettant de conserver ou traiter des données pour établir, faire valoir ou défendre des droits devant les juridictions.

📝 Points essentiels

• Le droit à l’effacement s’applique dans 6 cas : données non nécessaires aux finalités, retrait du consentement, opposition sans motif légitime impérieux, traitement illicite, effacement dû à une obligation légale, et cas
• Le droit à l’effacement ne s’applique pas automatiquement : il dépend des finalités et des exceptions prévues par le régime applicable.
• Le droit à la portabilité permet de demander à une organisation de transmettre les données à une autre organisation, dans une logique de concurrence.
• La portabilité ne concerne que les données transmises volontairement ou collectées du fait de l’activité de la personne.
• Le droit contre le profilage existe, mais le règlement autorise le profilage lorsqu’il s’inscrit dans le cadre d’un contrat.
• Les données des mineurs ne sont pas qualifiées de sensibles, mais elles bénéficient d’une protection renforcée car le mineur est une personne vulnérable.

💡 Astuce mémo

Effacement = 6 portes : Non-nécessaire, Retrait, Opposition sans impérieux, Illicite, Obligation légale, Mineurs (services info).

📖 11. Sanctions CNIL et chaîne répressive

🔑 Notions clés & Définitions

• Signalement CNIL : Procédure de déclenchement d’une enquête CNIL à partir d’informations transmises par des sources prévues (usagers, presse, autres autorités, etc.).
• Contrôle CNIL : Enquête menée par la CNIL pour vérifier la conformité des traitements de données, avec des modalités sur place, en ligne, sur convocation ou sur pièces.
• Mise en demeure CNIL : Mesure préalable adressée par la CNIL lorsqu’elle constate des manquements, avant une clôture ou une sanction.
• Procédure de sanction simplifiée : Mécanisme permettant à la CNIL de traiter certains dossiers de faible importance avec une décision plus rapide par la formation restreinte.
• Action de groupe : Mécanisme permettant de regrouper des actions de plusieurs personnes concernées par des manquements liés aux données.

📝 Points essentiels

• Avant le RGPD, le TGI Marseille (7 juin 2017) a condamné une personne à une amende de 5 000 € pour avoir trouvé le dossier médical de son enfant via une recherche en ligne.
• La chaîne répressive CNIL démarre par un signalement : plaintes sur cnil.fr, autosaisine sur thèmes prioritaires, remontées par la presse/web, ou coopération avec une autre CNIL européenne.
• Le contrôle CNIL peut se faire sur place (accès aux traitements et PV), en ligne (PV à partir de manquements visibles à distance), sur convocation (audition et PV), ou sur pièce (questions écrites et demande de documents
• Après le contrôle : absence ou peu d’observations → clôture ; manquements sérieux → mise en demeure puis clôture ou mise en demeure puis sanction ; ou sanction selon le cas.
• Depuis 2022, la CNIL dispose d’une procédure de sanction simplifiée où le président de la formation restreinte peut statuer seul pour les dossiers de faible importance.
• Dans la procédure simplifiée, le président peut prononcer : rappel à l’ordre, injonction sous astreinte (≤ 100 €), ou amende administrative (≤ 20 000 €).

💡 Astuce mémo

Signalement → Contrôle → (Clôture ou Mise en demeure) → (Sanction), et en 2022 : faible gravité = président seul + 3 mesures (ordre, astreinte ≤100 €, amende ≤20 000 €).

📖 12. Données de santé et régimes de formalités

🔑 Notions clés & Définitions

• Données de santé : Données de santé : informations personnelles liées à l’état de santé physique ou mental d’une personne, qu’elles portent sur le passé, le présent ou le futur.
• Données de santé par nature : Données de santé par nature : données qui décrivent directement des éléments médicaux comme antécédents, maladies, soins, examens, traitements ou handicap.
• Données de santé en raison de leur destination : Données de santé en raison de leur destination : données qualifiées comme santé parce qu’elles sont utilisées à des fins médicales.
• Données de santé par croisement : Données de santé par croisement : données qui, combinées avec d’autres, permettent de conclure sur l’état de santé ou un risque.
• NIR : NIR : identifiant national utilisé dans certains traitements, soumis à un régime de formalités spécifique.

📝 Points essentiels

• Deux régimes de formalités peuvent subsister malgré la disparition de certaines démarches CNIL, notamment pour les traitements de données de santé.
• Les traitements de données de santé sont souvent concernés par l’obligation de réaliser une analyse d’impact.
• Exclusion : les données de santé à usage exclusif de la personne ne relèvent pas du même régime que les traitements impliquant des tiers (ex. applications mobiles en santé).
• Exclusion : lorsque l’on ne peut tirer aucune conséquence sur l’état de santé de la personne concernée, les données ne sont pas traitées comme données de santé au sens retenu.
• Régime de suppression : les formalités CNIL disparaissent pour des traitements nécessaires à la médecine préventive et aux diagnostics médicaux.
• Régime de suppression : les formalités disparaissent aussi pour assurer le service des prestations ou le contrôle par les organismes gérant un régime de base d’assurance maladie, ainsi que pour les traitements par les AR

💡 Astuce mémo

Santé = Nature + Destination + Croisement ; Formalités = Souvent supprimées, mais Recherche et NIR restent.

📅 Repères chronologiques

📊 Tableaux de synthèse

Fondements du traitement vs consentement

Données de santé : trois catégories

⚠️ Pièges & confusions fréquents

1. Confondre données anonymisées et pseudonymisées : l’anonymisation est irréversible et sort du régime, la pseudonymisation reste soumise car la réidentification reste possible via des informations supplémentaires.
2. Croire que le consentement est le seul fondement : le cours rappelle qu’il n’est qu’un des 6 fondements possibles (contrat, obligation légale, intérêts vitaux, mission d’intérêt public/autorité publique, intérêt légitime
3. Mélanger loyauté et licéité : la loyauté impose une finalité déterminée, explicite et légitime, tandis que la licéité exige l’absence de contrariété avec les règles législatives ou réglementaires.
4. Oublier que les données sensibles (catégories particulières) sont interdites sauf exceptions : l’exception « consentement explicite » n’est qu’une des possibilités listées.
5. Se tromper sur le PIA : il n’est pas « toujours obligatoire », il devient requis quand le traitement remplit au moins 2 critères (surveillance automatique, données sensibles, grande échelle, croisement, vulnérables, éval
6. Confondre registre des violations et notification : si aucun risque n’est identifié, on documente dans le registre ; si risque, notification à l’autorité dans 72h ; si risque élevé, information des personnes en plus.
7. Penser que le droit à l’effacement est automatique : il dépend des finalités et des exceptions (liberté d’expression, obligation légale, santé d’intérêt public, archives, droits en justice, mineurs).

✅ Checklist Examen

1. Identifier le « paquet numérique européen » et expliquer pourquoi il ne fonctionne pas comme le droit français classique, puis situer la chronologie avant 1978 (Hesse 1970, Suède 1976).
2. Définir les données à caractère personnel (personne physique identifiée ou identifiable, directement ou indirectement, par les moyens du responsable) et distinguer personnes vivantes vs personnes morales, et exclusions (
3. Définir un traitement de données et préciser qu’il inclut notamment collecte, enregistrement, conservation, consultation, communication, et qu’en l’absence d’automatisation il faut un ensemble stable et organisé.
4. Définir responsable du traitement et sous-traitant, puis rappeler que le responsable détermine finalités et moyens et doit mettre en œuvre des mesures techniques et organisationnelles adaptées.
5. Lister les 6 fondements du traitement et vérifier les conditions du consentement (libre, spécifique, univoque, éclairé ; preuve ; demande claire ; retrait possible sans remettre en cause le déjà effectué).
6. Maîtriser les principes de l’article 5 : loyauté (finalité déterminée, explicite, légitime), licéité (pas de contrariété), transparence (information concise claire et précise), proportionnalité (minimisation, exactitude,
7. Expliquer la sécurité des traitements : sécurité appropriée (confidentialité, intégrité, disponibilité), réversibilité contre perte/destruction, et rôle du facteur humain/ingénierie sociale.
8. Décrire PSSI : logique menaces → impacts/criticité → mesures, et rappeler les bénéfices attendus (sécurité, coûts, image, patrimoine, obligations de moyen).
9. Expliquer RGPD et cloud : savoir où les données sont traitées/stockées, vérifier les contrats (notamment pour données sensibles), collecter seulement le nécessaire, protéger DCP, et pouvoir effacer à l’arrêt du service.
10. Présenter les droits des personnes : information, consentir, accès, rectification, opposition, déréférencement, et rappeler que le droit n’est pas absolu.
11. Expliquer les changements d’époque et le modèle européen : guichet unique (établissement principal), coopération, et rôle de l’EDPB en cas de désaccord.
12. Décrire l’accountability : fin des formalités préalables, obligation de documenter, et les trois blocs de documentation (information des personnes, rôles/responsabilités, traitement/PIA/transferts).
13. Maîtriser privacy by design, privacy by défaut et security by design : objectifs, exigences opérationnelles, et les 3 actions de security by design (minimiser surface d’attaque, moindre privilège, défense en profondeur).
14. Savoir quand réaliser une PIA : catégories de traitements à risques élevés, critères (au moins 2), contenu attendu, et consultation de l’autorité en cas de risques résiduels avec délai d’avis écrit (8 semaines + prolong.