⚖️ C3.1.1 — Fondements du RGPD · Séance 1/2
| Formation | BTS SIO option SLAM — IRIS Mediaschool |
|---|---|
| Bloc | B3 — Cybersécurité des services informatiques |
| Module | M3.1 — RGPD et protection des données personnelles |
| Cours | C3.1.1 — Cadre réglementaire RGPD · Séance 1/2 |
| Compétence | B3.1 — Protéger les données à caractère personnel |
| Durée | 3h30 (10 min intro + 70 min théorie + 90 min TP + 10 min synthèse) |
| Prérequis | Notions de base en SI, connaissance des rôles en entreprise |
Accroche (10 min)
En 2022, la CNIL a infligé une sanction de 150 millions d'euros à Google pour défaut de consentement valide des cookies. Cet épisode illustre que le RGPD n'est pas qu'un texte théorique : il s'applique concrètement et impose aux organisations, petites ou grandes, des obligations réelles sous peine de sanctions considérables.
Section 1 — Historique et cadre du RGPD (~70 min)
Genèse et entrée en vigueur
La Directive 95/46/CE (1995) posait des principes communs mais laissait une large marge de transposition aux États membres. Face à l'explosion des usages numériques et aux scandales (Cambridge Analytica, Yahoo!, etc.), l'Union Européenne a adopté le Règlement (UE) 2016/679 — RGPD :
- Adoption : 27 avril 2016
- Publication au JOUE : 4 mai 2016
- Entrée en application : 25 mai 2018
- Application directe dans les 27 États membres sans transposition nationale
Un règlement européen s'applique directement et uniformément dans tous les États membres sans nécessiter de transposition nationale. Le RGPD garantit ainsi un niveau de protection identique partout dans l'UE, contrairement à la Directive de 1995.
Champ d'application
Le RGPD s'applique aux organisations établies dans l'UE, mais aussi à toute entreprise hors UE qui propose des biens/services à des personnes dans l'UE ou surveille leur comportement (art. 3 §2). Concrètement, la plupart des opérations d'une PME (formulaires web, logs, sauvegardes NAS) relèvent du RGPD.
Les 7 principes fondamentaux (Art. 5)
| Principe | Description | Exemple InnovatTech |
|---|---|---|
| 1. Licéité, loyauté, transparence | Base légale valable ; personnes informées | Politique de confidentialité claire sur le site |
| 2. Limitation des finalités | Finalités déterminées, explicites, légitimes | Email collecté pour contact ≠ réutilisable pour pub sans consentement |
| 3. Minimisation des données | Collecte uniquement du nécessaire | Pour newsletter : email suffit, pas de N° sécu |
| 4. Exactitude | Données exactes et tenues à jour | Procédures de mise à jour des fiches clients CRM |
| 5. Limitation de la conservation | Durées définies et documentées | Logs : 6 mois ; factures : 10 ans (obligation légale) |
| 6. Intégrité et confidentialité | Mesures techniques et organisationnelles | Chiffrement NAS, pare-feu pfSense, politiques AD |
| 7. Responsabilité (Accountability) | Démontrer sa conformité | Registre des traitements, preuves de conformité |
Section 2 — Définitions fondamentales (~20 min)
Donnée à caractère personnel
Toute information se rapportant à une personne physique identifiée ou identifiable. Une personne est identifiable directement (nom, prénom) ou indirectement (IP, cookie, localisation GPS, empreinte digitale).
| Type | Exemples |
|---|---|
| Identité directe | Nom, prénom, date de naissance, adresse |
| Contact | Email, téléphone |
| Techniques | Adresse IP, cookie, identifiant de connexion |
| Économiques | Revenus, historique d'achats |
| Sensibles (art. 9) | Origine raciale, opinions politiques, santé, biométrie, vie sexuelle… |
Pseudonymisation vs Anonymisation
Pseudonymisation : remplace les identifiants directs par des dérivés — réidentification possible avec information complémentaire → donnée reste personnelle, RGPD s'applique toujours.
Anonymisation : transformation irréversible rendant toute réidentification raisonnablement impossible → données sortent du champ du RGPD.
Acteurs clés
| Acteur | Définition |
|---|---|
| Responsable de traitement | Détermine finalités et moyens — responsable juridique de la conformité |
| Sous-traitant | Traite les données pour le compte du responsable selon ses instructions (contrat art. 28 obligatoire) |
| DPO | Délégué à la Protection des Données : conseille, contrôle, est le point de contact CNIL et des personnes concernées |
| CNIL | Autorité de contrôle française : informe, régule, contrôle, sanctionne (jusqu'à 20 M€ ou 4% CA mondial) |
Bases légales du traitement (Art. 6)
- Consentement : libre, spécifique, éclairé, univoque et révocable facilement
- Exécution d'un contrat : traitement nécessaire au contrat auquel la personne est partie
- Obligation légale : imposé par une loi (ex : gestion de la paie, archivage comptable)
- Intérêts vitaux : protection de la vie d'une personne
- Mission d'intérêt public : conférée par le droit de l'UE ou d'un État membre
- Intérêts légitimes : nécessaire aux intérêts légitimes du responsable, sauf primauté des droits des personnes
Le consentement RGPD doit être libre (sans déséquilibre de pouvoir), spécifique (pour chaque finalité), éclairé (la personne comprend à quoi elle consent) et univoque (action positive, aucune case pré-cochée). Il doit être aussi facile à retirer qu'à donner.
Travaux Pratiques — Analyse politique de confidentialité (90 min)
Scénario : InnovatTech reçoit une plainte CNIL d'un client qui affirme ne pas pouvoir exercer ses droits. Analysez la politique de confidentialité du site et identifiez les manquements au RGPD.
Livrable attendu
Tableau (traitement / base légale / durée conservation / droits mentionnés) + liste d'au moins 6 manquements référencés aux articles du RGPD avec corrections proposées.
# Rechercher la mention du DPO dans la politique récupérée
grep -i -n -E "DPO|délégué|protection" politique.txt || echo "DPO non mentionné"
# Vérifier les durées de conservation
grep -i -n -E "durée|conserv|retention|log" politique.txt || echo "Aucune durée explicitée"
# Vérifier la portabilité (art. 20)
grep -i -n "portabil" politique.txt || echo "Portabilité non mentionnée"
# Vérifier les transferts hors UE
grep -i -n -E "hors.*UE|etats-?unis|transfert" politique.txt || true
# Créer un squelette de rapport
cat > rapport-analyse.md <<'MD'
# Rapport — Analyse politique de confidentialité InnovatTech
| Traitement | Base légale présente ? | Durée conservation | Droits mentionnés |
|---|---|---|---|
MDManquements types à identifier (corrigé indicatif)
- Absence de base légale pour les traitements listés → Art. 6 → Indiquer la base légale pour chaque finalité
- Durée de conservation vague ("durée adaptée") → Art. 5(1)(e) → Définir des durées précises par catégorie
- Droit à la portabilité non mentionné → Art. 20 → Ajouter la procédure pour l'exercer
- DPO ou contact RGPD absent → Art. 37-39, Art. 12 → Désigner un contact dédié
- Transferts hors UE sans garanties documentées (Google Analytics) → Art. 44-46 → Documenter les CCT/décision d'adéquation
- Délai de réponse non précisé → Art. 12(3) → Indiquer le délai légal d'un mois (prorogeable)
- Consentement cookies non conforme → Art. 6, directive ePrivacy → Mettre en place un bandeau conforme avec retrait facile
Droits des personnes (accès, rectification, effacement, portabilité…), obligations du responsable de traitement et construction du registre des activités de traitement (art. 30).
Synthèse (10 min)
Les 7 principes du RGPD forment un cadre cohérent : les traitements doivent être licites, loyaux, transparents, limités dans leurs finalités, minimisés, exacts, temporellement limités, sécurisés, et surtout démontrables. Ces obligations sont à la fois techniques (chiffrement, accès AD, pare-feu pfSense) et organisationnelles (registres, contrats, procédures).
Question de synthèse : En une phrase, expliquez pourquoi une donnée pseudonymisée reste une donnée personnelle sous le RGPD.
🎮 Quiz — Testez vos connaissances
3 QCM · 1 Vrai/Faux · 1 Question ouverte
QCM 1 — Entrée en vigueur du RGPD
À quelle date le RGPD est-il devenu applicable dans toute l'Union Européenne ?
- 27 avril 2016 (date d'adoption)
- 25 mai 2016
- 25 mai 2018
- 1er janvier 2019
📋 Correction
C — 25 mai 2018. Le RGPD a été adopté le 27 avril 2016 et publié le 4 mai 2016, mais il n'est entré en application que deux ans plus tard, le 25 mai 2018, après une période de transition accordée aux organisations pour se mettre en conformité.
QCM 2 — Les 7 principes fondateurs
Lequel de ces termes n'est PAS l'un des 7 principes fondateurs du RGPD (Art. 5) ?
- Minimisation des données
- Limitation des finalités
- Rentabilité du traitement
- Limitation de la conservation
📋 Correction
C — La rentabilité. Ce n'est pas un principe du RGPD. Les 7 principes de l'Art. 5 sont : 1) licéité/loyauté/transparence, 2) limitation des finalités, 3) minimisation, 4) exactitude, 5) limitation de la conservation, 6) intégrité/confidentialité, 7) responsabilité (accountability).
QCM 3 — Responsable de traitement
Qui est le responsable de traitement au sens du RGPD ?
- Celui qui traite les données pour le compte d'une autre entité
- L'autorité de contrôle nationale (la CNIL)
- Celui qui détermine les finalités et les moyens du traitement
- Le délégué à la protection des données (DPO)
📋 Correction
C. Le responsable de traitement est l'entité (personne physique ou morale) qui détermine les finalités et les moyens du traitement. Le sous-traitant, lui, traite des données pour le compte du responsable et selon ses instructions (il doit signer un contrat art. 28).
Vrai / Faux
⬜ Le RGPD s'applique uniquement aux entreprises qui sont physiquement établies dans l'Union Européenne.
📋 Correction
FAUX. Le RGPD s'applique également à toute organisation établie hors de l'UE qui propose des biens ou services à des personnes situées dans l'UE, ou qui surveille le comportement de ces personnes (Art. 3 §2). Une entreprise américaine ciblant des clients européens doit respecter le RGPD.
Question ouverte
En quoi la pseudonymisation et l'anonymisation diffèrent-elles du point de vue du RGPD ? Donnez un exemple concret de chaque technique dans le contexte d'une PME.
📋 Éléments de réponse
La pseudonymisation remplace les identifiants directs par des identifiants dérivés (ex : hacher l'email d'un employé avec un sel conservé séparément). La réidentification reste possible si l'on dispose de l'information complémentaire (le sel) → la donnée reste personnelle et le RGPD s'applique toujours. L'anonymisation transforme les données de manière irréversible par des techniques comme le k-anonymat ou l'agrégation (ex : remplacer les âges précis par des tranches agrégées) → aucune réidentification raisonnablement possible → les données sortent du champ du RGPD.