SISR / B3 / M3.1 / C3.1.1

🔐 Cadre réglementaire — RGPD

Bloc 3 Module 3.1 BTS SIO SISR
FormationBTS SIO option SISR — IRIS Mediaschool
BlocB3 — Cybersécurité des services informatiques
ModuleM3.1 — RGPD et protection des données personnelles
Durée7 heures
PrérequisNotions de base en systèmes d'information, connaissance des rôles en entreprise

🎯 Objectifs

  • Comprendre l'origine et les objectifs du Règlement Général sur la Protection des Données (RGPD)
  • Identifier les notions clés : données personnelles, traitement, responsable de traitement, sous-traitant
  • Maîtriser les 7 principes fondateurs du RGPD
  • Connaître les droits des personnes concernées (accès, rectification, effacement, portabilité, etc.)
  • Comprendre le rôle et les pouvoirs de la CNIL
  • Identifier les sanctions encourues en cas de non-conformité

📖 Savoirs associés

  • Textes réglementaires : RGPD (UE 2016/679), loi Informatique et Libertés modifiée
  • Définitions : données personnelles, données sensibles, traitement, fichier
  • Acteurs : responsable de traitement, sous-traitant, délégué à la protection des données (DPO)
  • Principes : licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité et confidentialité, responsabilité (accountability)
  • Droits des personnes : information, accès, rectification, effacement, opposition, limitation, portabilité
  • Autorité de contrôle nationale : CNIL — pouvoirs d'investigation, de sanction

📖 Contexte et historique du RGPD

Avant le RGPD : la directive de 1995

La protection des données personnelles en Europe remonte à la directive 95/46/CE du 24 octobre 1995. Cette directive a instauré un premier cadre harmonisé, mais laissait une large marge de transposition aux États membres, créant des disparités entre pays européens. En France, c'est la loi Informatique et Libertés de 1978 qui constituait le socle national, gérée par la CNIL créée la même année.

Pourquoi le RGPD ?

À l'ère du big data, des réseaux sociaux et de l'économie numérique, les données personnelles sont devenues un actif stratégique majeur. Les scandales (Cambridge Analytica, Yahoo!, etc.) ont mis en évidence les insuffisances du cadre de 1995. L'Union Européenne a donc élaboré un nouveau règlement, applicable dans tous les États membres sans transposition nationale :

  • Adoption : 27 avril 2016
  • Publication au JOUE : 4 mai 2016
  • Entrée en vigueur : 25 mai 2018
  • Application : directement applicable dans les 27 États membres
💡 Règlement vs Directive

Contrairement à une directive européenne (qui nécessite une transposition dans chaque pays), un règlement européen s'applique directement et uniformément dans tous les États membres. Le RGPD garantit ainsi un niveau de protection identique à travers toute l'Union Européenne.

📖 Définitions clés

Donnée à caractère personnel

Toute information se rapportant à une personne physique identifiée ou identifiable (la "personne concernée"). Une personne est identifiable lorsqu'elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (nom, numéro d'identification, données de localisation, identifiant en ligne) ou à un ou plusieurs facteurs spécifiques (physiques, physiologiques, génétiques, psychiques, économiques, culturels ou sociaux).

Type de donnéesExemples
IdentitéNom, prénom, date de naissance, adresse
ContactEmail, numéro de téléphone
TechniquesAdresse IP, cookie, identifiant de connexion
ÉconomiquesRevenus, situation financière, historique d'achats
Sensibles (article 9)Origine raciale, opinions politiques, convictions religieuses, données biométriques, santé, vie sexuelle

Traitement de données

Toute opération ou ensemble d'opérations effectuées sur des données personnelles : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, effacement ou destruction.

Responsable de traitement

La personne physique ou morale (entreprise, administration) qui détermine les finalités et les moyens du traitement des données. C'est lui qui est juridiquement responsable de la conformité.

Sous-traitant

Toute personne qui traite des données pour le compte du responsable de traitement (hébergeur cloud, prestataire informatique, etc.). Le sous-traitant doit présenter des garanties suffisantes et signer un contrat définissant ses obligations.

📖 Les 7 principes fondateurs

L'article 5 du RGPD énonce sept principes que tout traitement de données personnelles doit respecter :

PrincipeDescription
1. Licéité, loyauté, transparenceLe traitement doit reposer sur une base légale ; les personnes doivent être informées
2. Limitation des finalitésLes données sont collectées pour des finalités déterminées, explicites et légitimes ; pas de réutilisation incompatible
3. Minimisation des donnéesSeules les données strictement nécessaires doivent être collectées ("privacy by design")
4. ExactitudeLes données doivent être exactes et tenues à jour
5. Limitation de la conservationLes données ne doivent pas être conservées plus longtemps que nécessaire
6. Intégrité et confidentialitéMesures techniques et organisationnelles pour protéger les données
7. Responsabilité (Accountability)Le responsable de traitement doit être capable de démontrer sa conformité

📖 Bases légales du traitement

Tout traitement doit reposer sur l'une des six bases légales de l'article 6 du RGPD :

  • Consentement : la personne a donné son accord libre, spécifique, éclairé et univoque
  • Contrat : le traitement est nécessaire à l'exécution d'un contrat auquel la personne est partie
  • Obligation légale : le traitement est imposé par une loi ou réglementation
  • Intérêts vitaux : nécessaire à la protection de la vie d'une personne
  • Mission d'intérêt public : traitement par un organisme public dans l'exercice de ses missions
  • Intérêts légitimes : nécessaire aux intérêts légitimes du responsable, sous réserve de ne pas primer sur les droits des personnes
⚠️ Le consentement : conditions strictes

Le consentement RGPD doit être libre (pas de déséquilibre), spécifique (pour chaque finalité), éclairé (la personne comprend ce à quoi elle consent) et univoque (action positive, pas de case pré-cochée). Il doit être aussi facile à retirer qu'à donner.

📖 Droits des personnes concernées

DroitArticle RGPDDescription
Droit à l'informationArt. 13-14Être informé lors de la collecte (finalités, durée, contact DPO…)
Droit d'accèsArt. 15Obtenir une copie des données détenues
Droit de rectificationArt. 16Faire corriger des données inexactes ou incomplètes
Droit à l'effacement ("droit à l'oubli")Art. 17Demander la suppression de ses données (sous conditions)
Droit à la limitationArt. 18Geler temporairement l'utilisation des données
Droit à la portabilitéArt. 20Recevoir ses données dans un format structuré et lisible par machine
Droit d'oppositionArt. 21S'opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection
Décision automatiséeArt. 22Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé

📖 La CNIL : rôle et pouvoirs

Qu'est-ce que la CNIL ?

La Commission Nationale de l'Informatique et des Libertés est l'autorité de contrôle française indépendante en matière de protection des données personnelles. Créée par la loi Informatique et Libertés de 1978, elle est une autorité administrative indépendante (AAI).

Missions

  • Informer et conseiller : guides pratiques, référentiels, accompagnement des organismes
  • Réguler : autoriser certains traitements sensibles, homologuer des codes de conduite
  • Contrôler : mener des inspections (sur place, sur pièces, en ligne)
  • Sanctionner : prononcer des amendes administratives en cas de violation
  • Accompagner l'innovation : bac à sable réglementaire, Privacy Tech

Sanctions RGPD

Le RGPD prévoit deux niveaux de sanctions administratives :

NiveauMontant maximumInfractions concernées
Niveau 110 millions € ou 2% du CA mondial annuelObligations du responsable et sous-traitant (art. 8, 11, 25-39, 42, 43)
Niveau 220 millions € ou 4% du CA mondial annuelPrincipes de base, droits des personnes, transferts (art. 5, 6, 7, 9, 12-22, 44-49)

En France, des sanctions notables : Amazon (746 M€ – Luxembourg, 2021), Google (150 M€ + Facebook 60 M€ – CNIL, 2022 pour les cookies).

📖 Transferts de données hors UE

Le RGPD encadre strictement les transferts de données personnelles vers des pays tiers (hors UE/EEE). Plusieurs mécanismes permettent ces transferts :

  • Décision d'adéquation : la Commission européenne reconnaît le niveau de protection suffisant du pays tiers (ex : Japon, Royaume-Uni, États-Unis via le Data Privacy Framework depuis 2023)
  • Clauses Contractuelles Types (CCT) : contrats standardisés approuvés par la Commission
  • Règles d'entreprise contraignantes (BCR) : pour les groupes multinationaux
  • Dérogations spécifiques : consentement explicite, exécution d'un contrat, etc.

🛠️ Outils / Ressources

  • CNIL : cnil.fr — guides, modèles de mentions légales, registre des traitements
  • Texte officiel RGPD : Règlement (UE) 2016/679 — JOUE
  • LINC (Laboratoire d'Innovation Numérique de la CNIL) : outils Privacy by Design
  • EDPB (Comité Européen de la Protection des Données) : lignes directrices harmonisées
  • Outil CNIL de cartographie des traitements

📝 Évaluation

Étude de cas : une PME collecte les données de ses clients via un formulaire en ligne. Analyser les bases légales utilisées, identifier les droits applicables, et lister les obligations auxquelles la PME est soumise au regard du RGPD.

📝 QCM — Testez vos connaissances

  1. Depuis quelle date le RGPD est-il applicable dans l'Union Européenne ?
  2. Qu'est-ce qu'une donnée à caractère personnel selon le RGPD ?
  3. Combien de bases légales le RGPD reconnaît-il pour justifier un traitement ?
  4. Quel est le montant maximum de sanction pour une violation grave du RGPD ?
  5. Quel droit permet à une personne de récupérer ses données dans un format lisible par machine ?
  6. Quelle est la différence entre responsable de traitement et sous-traitant ?
📝 Afficher les corrections
  1. 25 mai 2018 — Le RGPD a été adopté en 2016 mais est entré en application le 25 mai 2018 après une période de transition de deux ans.
  2. Toute information relative à une personne physique identifiée ou identifiable — Cela inclut nom, adresse, IP, cookie, données biométriques, etc.
  3. 6 bases légales — Consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêts légitimes (article 6 du RGPD).
  4. 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel — Le montant le plus élevé des deux s'applique.
  5. Le droit à la portabilité (article 20) — Il permet de recevoir ses données dans un format structuré, couramment utilisé et lisible par machine.
  6. Le responsable de traitement détermine les finalités et moyens du traitement ; le sous-traitant traite des données pour le compte du responsable, selon ses instructions.
💡 À retenir

Le RGPD est le texte de référence en matière de protection des données personnelles dans l'UE. Tout technicien informatique doit comprendre ses principes fondamentaux car les systèmes qu'il met en place traitent presque toujours des données personnelles. La conformité RGPD est une responsabilité partagée entre les équipes juridiques, métiers et techniques.

📚 Cours détaillés — 2 séances

▶ C3.1.1 Séance 1 — Fondements RGPD, principes et acteurs ▶ C3.1.1 Séance 2 — Droits des personnes, obligations et sanctions RGPD
← Retour au module Cours suivant →