⚖️ C3.1.1 — Droits des personnes & obligations · Séance 2/2
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B3 — Cybersécurité des services informatiques |
| Module | M3.1 — RGPD et protection des données personnelles |
| Cours | C3.1.1 — Cadre réglementaire RGPD · Séance 2/2 |
| Compétence | B3.1 — Protéger les données à caractère personnel |
| Durée | 3h30 (10 min intro + 55 min Section 1 + 35 min Section 2 + 90 min TP + 10 min synthèse) |
| Prérequis | Séance 1 — 7 principes RGPD, acteurs, données personnelles |
Introduction — Rappel Séance 1 (5 min)
Lors de la séance précédente, nous avons étudié les 7 principes du RGPD (licéité, minimisation, accountability…), les 6 bases légales de l'art. 6, et distingué responsable de traitement vs sous-traitant. Chez InnovatTech, le dirigeant est responsable du traitement ; les prestataires cloud/ERP sont sous-traitants (contrat art. 28 obligatoire).
Section 1 — Droits des personnes concernées (~55 min)
Le RGPD consacre un ensemble de droits destinés à restituer aux personnes la maîtrise de leurs données personnelles.
| Droit | Art. | Description | Délai |
|---|---|---|---|
| Droit d'accès | 15 | Obtenir confirmation du traitement + copie des données + informations (finalités, destinataires, durée de conservation…) | 1 mois (prorogeable 2 mois) |
| Droit de rectification | 16 | Faire corriger les données inexactes ou incomplètes | 1 mois |
| Droit à l'effacement ("droit à l'oubli") | 17 | Suppression des données si : plus nécessaires, consentement retiré, traitement illicite… Pas absolu (obligations légales de conservation) | 1 mois |
| Droit à la limitation | 18 | Geler temporairement le traitement sans supprimer les données (exactitude contestée, opposition en cours…) | 1 mois |
| Droit à la portabilité | 20 | Recevoir ses données dans un format structuré, lisible par machine (CSV, JSON) et les transférer à un autre responsable. S'applique uniquement pour traitements fondés sur consentement ou contrat, par voie automatisée | 1 mois |
| Droit d'opposition | 21 | S'opposer à un traitement fondé sur l'intérêt légitime ou à la prospection commerciale (droit absolu en cas de prospection) | Immédiat pour prospection |
| Décision automatisée / profilage | 22 | Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques. Intervention humaine requise. | — |
Le droit d'accès fournit une copie et des informations. Le droit à la portabilité exige un format transposable automatiquement (CSV, JSON) facilitant le changement de prestataire. Par exemple, un client peut exporter son historique d'achats CRM d'InnovatTech au format CSV pour le transférer chez un concurrent.
Section 2 — Obligations du responsable de traitement (~35 min)
Registre des activités de traitement (Art. 30)
Le registre doit contenir pour chaque traitement les 8 rubriques minimales suivantes :
- Nom du traitement
- Finalité(s)
- Catégories de personnes concernées
- Catégories de données personnelles
- Destinataires (ou catégories de destinataires)
- Transferts éventuels hors UE (+ garanties : CCT, BCR, décision d'adéquation)
- Durée de conservation prévue
- Mesures techniques et organisationnelles de sécurité
Notification des violations (Art. 33-34)
| Obligation | Délai | Contenu |
|---|---|---|
| Notification à la CNIL | 72 heures après prise de connaissance | Nature de la violation, catégories et nombre de personnes, conséquences probables, mesures prises, coordonnées DPO |
| Communication aux personnes concernées | Sans délai injustifié (si risque élevé) | Nature de la violation, mesures prises, conseils pratiques |
- Ransomware chiffrant des bases clients → risque élevé → notifier CNIL et personnes
- Email avec données clients envoyé au mauvais destinataire → évaluer le risque → probable notification
- Clé USB non chiffrée contenant des données clients perdue → évaluer, souvent notifier
Sanctions CNIL
| Niveau | Montant maximum | Infractions |
|---|---|---|
| Niveau 1 | 10 M€ ou 2% CA mondial | Obligations du responsable/sous-traitant (art. 8, 11, 25-39, 42, 43) |
| Niveau 2 | 20 M€ ou 4% CA mondial | Principes de base, droits des personnes, transferts (art. 5, 6, 7, 9, 12-22, 44-49) |
TP — Registre des traitements + Procédure d'exercice des droits (90 min)
Scénario : Suite à l'analyse de la séance 1, le dirigeant d'InnovatTech vous mandate pour produire le registre des traitements (10 traitements identifiés) et une procédure de réponse aux demandes de droits.
10 traitements identifiés chez InnovatTech
- Gestion des clients (CRM) — base légale : exécution du contrat
- Gestion de la paie — obligation légale
- Candidatures et recrutement — consentement
- Vidéosurveillance des locaux — intérêt légitime
- Badges d'accès (contrôle d'accès) — obligation légale
- Site web avec cookies analytiques — consentement
- Newsletter commerciale — consentement
- Messagerie professionnelle — exécution du contrat
- Gestion des fournisseurs — exécution du contrat
- Annuaire interne des employés — obligation légale
# Créer l'en-tête du registre CSV (8 colonnes art. 30)
cat > registre_rgpd.csv << 'CSV'
"Nom du traitement","Finalité","Catégories de personnes","Catégories de données","Destinataires","Transferts hors UE","Durée de conservation","Mesures de sécurité"
CSV
# Ajouter la ligne CRM
echo '"Gestion des clients (CRM)","Relation client, facturation","Clients, prospects","Nom, email, historique commandes","Service commercial; Hébergeur SaaS (UE)","Non","10 ans après fin relation","Accès restreint, chiffrement at rest, MFA admins"' >> registre_rgpd.csvProcédure de réponse à une demande de droits (5 étapes)
- Accusé de réception et vérification d'identité (J+5 max) — valider l'identité du demandeur
- Identification et cadrage — préciser le droit demandé, localiser les systèmes concernés (CRM, messagerie, AD, NAS)
- Exécution technique — export CSV/JSON, correction, effacement ou limitation. Tracer toutes les actions dans le journal
- Information à la personne — répondre dans le délai légal d'1 mois (prorogeable de 2 mois avec notification motivée)
- Clôture et archivage des preuves — conserver les preuves dans le registre de conformité
Gestion des droits et des accès aux données : contrôles d'accès, RBAC, ABAC, cycle de vie des comptes, journalisation et traçabilité (auditd sur Linux, logs Windows AD).
Synthèse (10 min)
Le RGPD donne des droits concrets aux personnes et impose des obligations strictes : choisir une base légale, documenter les traitements (registre art. 30), sécuriser les données, notifier les violations sous 72h et permettre l'exercice effectif des droits. La tenue d'un registre et de procédures opérationnelles sont les preuves concrètes de conformité.
Question clé : Dans quel délai une violation de données doit-elle être notifiée à la CNIL ? Que se passe-t-il si ce délai n'est pas respecté ?
🎮 Quiz — Testez vos connaissances
3 QCM · 1 Vrai/Faux · 1 Question ouverte
QCM 1 — Droit à la portabilité
Quel droit permet à une personne de recevoir ses données dans un format structuré et lisible par machine pour les transférer à un autre responsable ?
- Droit d'accès (Art. 15)
- Droit de rectification (Art. 16)
- Droit à la portabilité (Art. 20)
- Droit d'opposition (Art. 21)
📋 Correction
C — Droit à la portabilité (Art. 20). Ce droit diffère du droit d'accès : il vise la réutilisation et le transfert technique des données dans un format interopérable (CSV, JSON). Il ne s'applique que pour les traitements fondés sur le consentement ou sur l'exécution d'un contrat, effectués par des moyens automatisés.
QCM 2 — Délai de notification CNIL
En cas de violation de données personnelles, dans quel délai le responsable de traitement doit-il notifier la CNIL ?
- 24 heures
- 48 heures
- 72 heures
- 7 jours ouvrés
📋 Correction
C — 72 heures après avoir pris connaissance de la violation (Art. 33 RGPD), sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes. Si toutes les informations ne sont pas disponibles à temps, une notification partielle est acceptable, complétée ultérieurement.
QCM 3 — Registre des traitements
Combien de rubriques minimales le registre des activités de traitement doit-il comporter selon l'article 30 du RGPD ?
- 4
- 6
- 8
- 10
📋 Correction
C — 8 rubriques. Nom du traitement, finalité(s), catégories de personnes, catégories de données, destinataires, transferts hors UE (+ garanties), durée de conservation, mesures de sécurité techniques et organisationnelles.
Vrai / Faux
⬜ L'article 22 du RGPD interdit absolument et sans aucune exception toute décision fondée exclusivement sur un traitement automatisé.
📋 Correction
FAUX. L'Art. 22 pose le principe d'interdiction, mais prévoit des exceptions : si la décision est nécessaire à l'exécution d'un contrat, si elle est autorisée par le droit de l'UE ou d'un État membre avec des garanties appropriées, ou si elle repose sur le consentement explicite de la personne. Dans ces cas, des garanties (intervention humaine, possibilité de contestation) doivent être mises en place.
Question ouverte
Expliquez la différence entre le droit d'accès (Art. 15) et le droit à la portabilité (Art. 20). Dans quelles conditions le droit à la portabilité s'applique-t-il ? Donnez un exemple concret chez InnovatTech.
📋 Éléments de réponse
Le droit d'accès (Art. 15) permet d'obtenir une copie des données et des informations sur le traitement (finalités, destinataires, durée de conservation…). Le droit à la portabilité (Art. 20) va plus loin : la personne reçoit ses données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON), afin de les transmettre à un autre responsable. La portabilité ne s'applique que pour les traitements fondés sur le consentement ou l'exécution d'un contrat, effectués par des moyens automatisés. Exemple : un client d'InnovatTech peut demander l'export de son historique d'achats CRM en CSV pour le réutiliser chez un prestataire concurrent.