✅ C3.1.3 — Mise en conformité RGPD en entreprise
| Formation | BTS SIO option SLAM — IRIS Mediaschool |
|---|---|
| Bloc | B3 — Cybersécurité des services informatiques |
| Module | M3.1 — RGPD et protection des données personnelles |
| Cours | C3.1.3 — Mise en conformité RGPD en entreprise · Séance 1/1 |
| Compétence | B3.1 — Protéger les données à caractère personnel |
| Durée | 4h (10 min intro + 80 min théorie + 90 min TP + 10 min synthèse) |
| Prérequis | C3.1.1 et C3.1.2 — Principes RGPD, droits, obligations, gestion des accès |
Accroche (10 min)
En 2023, une PME de 40 salariés a envoyé par erreur un fichier Excel contenant noms, salaires et numéros de sécurité sociale à 50 clients externes. Résultat : mise en demeure CNIL, procédure administrative, notification individuelle aux 40 salariés, coût total estimé à 25 000 € (honoraires d'avocat, audits, mesures correctives). Cet exemple illustre concrètement que les conséquences d'une fuite dépassent largement l'atteinte à la vie privée.
Section 1 — Cartographie des traitements et DPIA (~50 min)
Cartographie des traitements
La cartographie est un outil opérationnel (orienté flux) permettant de visualiser comment les données circulent dans l'organisation et d'identifier les points de risque. Elle s'obtient par des entretiens avec les métiers (RH, commercial, IT, direction) pour collecter :
- Finalités des activités et données manipulées
- Outils utilisés (CRM, ERP, messagerie, formulaires web)
- Modalités de stockage (serveurs locaux, NAS, cloud)
- Durées de conservation et transferts vers des prestataires externes
Différence avec le registre : la cartographie visualise les flux (utile pour l'analyse) ; le registre (Art. 30) formalise la conformité juridique (inventaire exhaustif, document de preuve).
DPIA — Analyse d'Impact relative à la Protection des Données (Art. 35)
La DPIA est obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL publie une liste indicative de 12 situations types : surveillance systématique, données biométriques, profilage à grande échelle, données de santé…
Méthode PIA simplifiée (5 étapes)
- Description du traitement : finalité, données, personnes, acteurs, flux, supports, durée de conservation
- Identification des risques : accès non autorisé, divulgation accidentelle, modification malveillante, conservation excessive, surveillance illicite…
- Évaluation des risques : vraisemblance (1-4) × gravité (1-4) = niveau de risque → priorités d'action
- Mesures pour réduire les risques : chiffrement, contrôle d'accès, journalisation, pseudonymisation, suppression automatique, formation du personnel, DPA avec sous-traitants
- Validation et suivi : approbation DPO/responsable, plan de mise en œuvre, indicateurs, réévaluation périodique
| Risque | Vraisemblance | Gravité | Niveau | Mesures |
|---|---|---|---|---|
| Accès non autorisé aux enregistrements | 2 | 3 | 6 | Chiffrement NAS, authentification forte, journalisation des accès |
| Usage secondaire pour surveiller les employés | 2 | 4 | 8 | Politique d'accès stricte, information du personnel, signalétique |
| Conservation excessive au-delà de 30 jours | 3 | 2 | 6 | Suppression automatique par cron, audit mensuel |
Mesures techniques et organisationnelles
# Suppression automatique des enregistrements vidéo > 30 jours
find /var/recordings/cameras -type f -mtime +30 -exec rm -f {} \;
# Pseudonymisation : hachage d'un email avec un sel
echo -n "utilisateur@example.comMON_SEL_SECRET" | openssl dgst -sha256
# Chiffrement d'une archive de sauvegarde avec GPG (AES256)
tar czf - /chemin/donnees | gpg --symmetric --cipher-algo AES256 -o /backups/backup-$(date +%F).tar.gz.gpg
# Restriction SSH via pare-feu (iptables — illustratif)
iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 22 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROPSection 2 — Gestion des incidents et violations (~30 min)
Définition d'une violation de données
Atteinte à la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles. Trois dimensions :
- Confidentialité : divulgation non autorisée (email mal envoyé, fuite externe)
- Intégrité : modification non souhaitée des données
- Disponibilité : perte ou chiffrement des données (ransomware)
Procédure de notification (Art. 33-34)
| Destinataire | Délai | Contenu obligatoire |
|---|---|---|
| CNIL | 72h après prise de connaissance | Nature, catégories/nombre de personnes et enregistrements, coordonnées DPO, conséquences probables, mesures prises |
| Personnes concernées | Sans délai injustifié (si risque élevé) | Nature de la violation, mesures prises, conseils pratiques (ex : surveiller les comptes bancaires) |
Contrat de sous-traitance (DPA — Data Processing Agreement)
Le DPA doit prévoir : description précise des traitements, mesures de sécurité techniques et organisationnelles, obligation d'informer en cas d'incident dans les 72h, conditions de sous-traitance auxiliaire, assistance pour l'exercice des droits, possibilité d'audit.
TP — DPIA Vidéosurveillance + Procédure de notification (90 min)
Scénario : InnovatTech installe 4 caméras (entrée + espaces techniques) avec enregistrement 30 jours sur NAS. Le DRH souhaite aussi déployer une géolocalisation des véhicules de fonction.
Mission 1 — DPIA vidéosurveillance (60 min)
Réaliser la DPIA simplifiée en 5 étapes. Identifier ≥3 risques, évaluer vraisemblance (1-4) × gravité (1-4), proposer ≥2 mesures par risque.
Mission 2 — Analyse géolocalisation (15 min)
Déterminer si la géolocalisation des véhicules nécessite une DPIA. Considérer : suivi systématique, possibilité de profilage des déplacements, contexte employeur/employé, durée de conservation, information préalable des employés.
Mission 3 — Procédure de notification d'incident (15 min)
Rédiger une procédure en 6 étapes (détection → clôture), incluant un modèle de notification CNIL avec les éléments obligatoires.
# Pseudonymisation illustrative (Python) — HMAC-SHA256
import hashlib, hmac
email = 'employe@innovattech.local'
sel = b'MON_SEL_SECRET'
hashed = hmac.new(sel, email.encode('utf-8'), hashlib.sha256).hexdigest()
print(hashed)Gestion des identités et des comptes : annuaires LDAP, Active Directory, Kerberos, gestion centralisée des identités dans une PME.
Synthèse (10 min)
Question : Quelle est la différence entre pseudonymisation et anonymisation ? Donnez un exemple concret pour chacune en utilisant des données d'employés (nom, email, salaire).
Réponse : La pseudonymisation maintient la possibilité de réidentification (sel + hash) → donnée reste personnelle. L'anonymisation est irréversible (k-anonymat, agrégation en tranches) → donnée sort du champ RGPD.
🎮 Quiz — Testez vos connaissances
3 QCM · 1 Vrai/Faux · 1 Question ouverte
QCM 1 — Obligation DPIA
Dans quels cas une DPIA est-elle obligatoire selon l'Art. 35 du RGPD ?
- Pour tout traitement de données personnelles, sans exception
- Uniquement pour les PME de plus de 50 salariés
- Quand le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes
- Seulement pour les données de santé, à l'exclusion de toute autre catégorie
📋 Correction
C. La DPIA est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. La CNIL a publié une liste indicative de 12 types de traitements à risque : surveillance systématique, données biométriques, profilage à grande échelle, données de santé, etc. Pour une PME, on la rencontre notamment pour la vidéosurveillance des employés, les systèmes de géolocalisation et les traitements de données médicales.
QCM 2 — Cartographie vs Registre
Comment la cartographie des traitements diffère-t-elle du registre des traitements (Art. 30) ?
- La cartographie est un document juridique obligatoire ; le registre est optionnel
- La cartographie est un outil opérationnel orienté flux ; le registre formalise la conformité juridique
- Les deux documents sont identiques et peuvent être fusionnés
- La cartographie est requis uniquement par la CNIL lors d'un contrôle
📋 Correction
B. La cartographie est un outil opérationnel qui visualise comment les données circulent dans l'organisation (flux entrants/sortants, transformations, risques). Elle facilite la compréhension et l'analyse. Le registre (Art. 30) est un document de conformité juridique contenant l'inventaire exhaustif des traitements, leurs bases légales, les durées de conservation et les mesures de sécurité. Les deux sont complémentaires.
QCM 3 — Calcul du niveau de risque DPIA
Dans une DPIA simplifiée, comment calcule-t-on le niveau de risque pour un scénario donné ?
- vraisemblance + gravité
- vraisemblance × gravité
- gravité / vraisemblance
- Somme de toutes les menaces identifiées
📋 Correction
B — vraisemblance × gravité. La vraisemblance (probabilité que le risque se réalise, de 1 = improbable à 4 = très probable) est multipliée par la gravité de l'impact (de 1 = faible à 4 = critique). Le produit donne un niveau de risque (de 1 à 16) qui permet de prioriser les mesures à mettre en œuvre.
Vrai / Faux
⬜ Une donnée pseudonymisée est considérée comme anonymisée et sort du champ d'application du RGPD.
📋 Correction
FAUX. La pseudonymisation réduit le risque mais ne fait pas disparaître le caractère personnel de la donnée : si le lien de réidentification existe (même conservé séparément), la donnée reste personnelle et le RGPD s'applique. Seule l'anonymisation irréversible (rendant toute réidentification raisonnablement impossible) fait sortir les données du champ du RGPD.
Question ouverte
Décrivez les 5 étapes d'une DPIA simplifiée selon la méthode PIA de la CNIL. Pour chaque étape, précisez ce qu'elle doit contenir et qui est responsable de la conduire chez InnovatTech.
📋 Éléments de réponse
- Description du traitement : finalité, catégories de données, personnes concernées, acteurs (responsable, sous-traitants), flux, supports techniques, durée de conservation. Responsable : équipe IT + DPO.
- Identification des risques : scénarios plausibles (accès non autorisé, divulgation accidentelle, modification, conservation excessive). Responsable : équipe sécurité + métiers.
- Évaluation des risques : vraisemblance (1-4) × gravité (1-4) pour chaque scénario. Responsable : RSSI ou équipe sécurité.
- Mesures pour réduire les risques : mesures techniques (chiffrement, contrôle d'accès, auditd) et organisationnelles (formation, procédures, DPA). Responsable : IT + direction.
- Validation et suivi : approbation par le DPO, plan de mise en œuvre avec indicateurs, réévaluation périodique. Responsable : DPO ou responsable du traitement.