Conformité et Gouvernance des Données
Ce module pose les bases juridiques et techniques de la protection des données en Europe. Comprendre le RGPD n'est pas seulement une obligation légale, c'est un pilier de la confiance numérique.
Le Règlement Général sur la Protection des Données (RGPD), ou GDPR en anglais, est le cadre juridique de référence pour la protection des données personnelles dans l'Union Européenne depuis le 25 mai 2018. Il remplace la Directive 95/46/CE de 1995, devenue obsolète face à l'explosion du numérique.
Les individus doivent pouvoir savoir quelles données sont collectées, pourquoi, par qui, et avoir le droit de les modifier ou supprimer.
Avant 2018, chaque pays avait sa propre loi. Une entreprise opérant dans 27 pays devait respecter 27 législations différentes. Le RGPD crée un cadre unique.
Les entreprises ne doivent plus "cocher des cases". Elles doivent être capables de prouver leur conformité à tout moment — c'est le principe d'accountability.
| Époque | Événement |
|---|---|
| 1995 | Directive 95/46/CE — Première harmonisation européenne sur la protection des données. |
| 2000–2010 | Explosion d'internet, des réseaux sociaux (Facebook 2004, Twitter 2006) et de la publicité ciblée. |
| 2013 | Révélations d'Edward Snowden sur la surveillance massive de la NSA (programme PRISM). |
| 2016 | Adoption du RGPD par le Parlement européen. |
| 25 mai 2018 | Entrée en application du RGPD dans toute l'Union Européenne. |
| 2018 → aujourd'hui | Premières sanctions majeures : Google (50 M€), Amazon (746 M€), Meta (1,2 Md€ — record absolu). |
Une personne est identifiable directement ou indirectement, notamment par référence à un identifiant — nom, numéro, données de localisation, identifiant en ligne...
| Type | Exemples |
|---|---|
| Directement identifiantes | Nom, prénom, photo, numéro de sécurité sociale |
| Indirectement identifiantes | Adresse IP, cookies, identifiant publicitaire, plaque d'immatriculation |
| Données sensibles (Art. 9 — protection renforcée) | Origine ethnique, opinions politiques, santé, orientation sexuelle, données biométriques |
| Non-personnelles | Données anonymisées, statistiques agrégées sans possibilité de ré-identification |
Le traitement englobe toute opération effectuée sur des données personnelles, automatisée ou non :
| Responsable de traitement | Sous-traitant |
|---|---|
| Entreprise utilisant un logiciel RH | Éditeur du logiciel (Workday, Sage) |
| E-commerce gérant ses commandes | Prestataire logistique (DHL, UPS) |
| Startup envoyant des emails marketing | Plateforme d'emailing (Mailchimp, Brevo) |
| Banque hébergeant ses données | Fournisseur cloud (AWS, Microsoft Azure) |
Ces 7 principes sont le socle de toute démarche de conformité. Tout manquement à l'un d'eux peut entraîner une sanction de niveau 2 (jusqu'à 20 M€ ou 4% du CA mondial).
Tout traitement doit reposer sur une base légale, être conduit sans tromper l'utilisateur (loyauté) et les personnes doivent savoir ce qui se passe avec leurs données (transparence).
Les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes. Elles ne peuvent pas être réutilisées de façon incompatible avec la finalité initiale.
Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire doivent être collectées. On ne collecte pas "au cas où".
Les données doivent être exactes et tenues à jour. Des mesures raisonnables doivent être prises pour effacer ou rectifier les données inexactes.
Les données ne doivent pas être conservées plus longtemps que nécessaire. Des durées de conservation doivent être définies et respectées.
| Type de données | Durée typique |
|---|---|
| Données clients (prospection) | 3 ans après le dernier contact |
| Données RH (contrat de travail) | 5 ans après la fin du contrat |
| Logs de connexion | 1 an (obligation légale en France) |
| Vidéosurveillance | 30 jours maximum |
| Données médicales | 10 à 20 ans selon le contexte |
Les données doivent être traitées de façon à garantir leur sécurité : protection contre l'accès non autorisé, la perte ou la destruction.
Le responsable de traitement doit être capable de démontrer qu'il respecte les 6 principes précédents. La conformité ne se présume pas — elle se prouve.
Tout traitement doit reposer sur l'une de ces 6 bases légales. Sans base légale valide, le traitement est illicite. La base légale doit être choisie avant le traitement et documentée.
| Base légale | Exemple concret | Points de vigilance |
|---|---|---|
| Consentement | Inscription volontaire à une newsletter. | Doit être libre, spécifique, éclairé, univoque et retirable. |
| Contrat | Adresse de livraison pour une commande en ligne. | Ne couvre que ce qui est strictement nécessaire à l'exécution. |
| Obligation légale | Conservation des fiches de paie (Code du travail). | La loi doit explicitement imposer le traitement. |
| Intérêt vital | Données médicales en cas d'urgence vitale. | Réservé aux situations où la vie est en danger. |
| Mission publique | Gestion des listes électorales. | Réservé aux autorités publiques et organismes délégués. |
| Intérêt légitime | Sécurité des réseaux, lutte contre la fraude. | Nécessite un test d'équilibre avec les droits des personnes. |
Libre — Pas de déséquilibre de pouvoir. L'utilisateur ne doit subir aucune conséquence négative s'il refuse.
Spécifique — Un consentement par finalité distincte. On ne peut pas regrouper plusieurs traitements différents dans une seule case.
Éclairé — La personne comprend clairement à quoi elle consent : qui collecte, quelles données, pour quelles finalités, combien de temps.
Univoque — Acte positif clair. Pas de cases pré-cochées, pas de déduction par inaction ("si vous ne répondez pas dans 7 jours, vous acceptez").
Retirable — Aussi facile à retirer qu'à donner. Un bouton "Accepter" visible ne suffit pas si le bouton "Retirer" est introuvable.
Le RGPD confère 8 droits majeurs aux personnes. L'organisation doit répondre à toute demande dans un délai d'1 mois (extensible à 3 mois). L'exercice de ces droits est gratuit.
| Droit | Article | En pratique |
|---|---|---|
| Droit à l'information | Art. 13–14 | Être informé lors de la collecte via la politique de confidentialité. |
| Droit d'accès | Art. 15 | Obtenir une copie de toutes les données détenues. |
| Droit de rectification | Art. 16 | Corriger des données inexactes ou incomplètes. |
| Droit à l'effacement (droit à l'oubli) | Art. 17 | Demander la suppression de ses données sous conditions. |
| Droit à la limitation | Art. 18 | Suspendre temporairement l'utilisation de ses données. |
| Droit à la portabilité | Art. 20 | Récupérer ses données dans un format structuré et lisible (CSV, JSON...). |
| Droit d'opposition | Art. 21 | S'opposer à un traitement — absolu pour la prospection commerciale. |
| Droit relatif au profilage | Art. 22 | Ne pas faire l'objet d'une décision automatisée sans intervention humaine. |
Le DPO est le chef d'orchestre de la conformité RGPD en interne. Sa désignation est obligatoire dans 3 cas (Art. 37) :
| Mission du DPO | Détail |
|---|---|
| Conseil | Informer et conseiller le RT, les sous-traitants et les employés |
| Contrôle interne | Vérifier que les traitements respectent le RGPD |
| AIPD | Conseiller sur la réalisation des analyses d'impact |
| Interface CNIL | Point de contact avec l'autorité de contrôle |
| Interface personnes | Point de contact pour les demandes d'exercice de droits |
La CNIL est l'autorité de contrôle française indépendante. Chaque État membre a la sienne (ICO au Royaume-Uni, BfDI en Allemagne...). Elle peut recevoir des plaintes, réaliser des contrôles et prononcer des sanctions.
Le registre est la colonne vertébrale de la conformité RGPD. Il recense tous les traitements de données effectués par l'organisation.
| Champ du registre | Exemple |
|---|---|
| Nom du traitement | Gestion de la paie |
| Responsable de traitement | ACME SAS, 12 rue des Lilas, Paris |
| Finalité | Calcul et versement des salaires |
| Catégories de personnes | Salariés |
| Catégories de données | Identité, coordonnées bancaires, données fiscales |
| Destinataires | Service comptabilité, expert-comptable, URSSAF |
| Durée de conservation | 5 ans après la fin du contrat |
| Mesures de sécurité | Accès restreint au service RH, chiffrement des exports |
L'AIPD est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les personnes :
Depuis les lignes directrices de la CNIL (2020), les sites web doivent :
| Situation | Légal ? | Explication |
|---|---|---|
| Newsletter à un abonné ayant coché une case non pré-remplie | ✅ | Consentement valide |
| Newsletter à un client pour des produits similaires | ✅ | Intérêt légitime B2C — opt-out obligatoire |
| Campagne vers une liste d'emails achetée | ❌ | Aucune base légale, aucune information préalable |
| Email à d'anciens clients inactifs depuis 4 ans | ❌ | Durée de conservation dépassée (3 ans max) |
| Pratique | Statut RGPD |
|---|---|
| Conserver un CV non retenu | ✅ Maximum 2 ans après le dernier contact |
| Demander la photo du candidat | ⚠️ Déconseillé — risque de discrimination, donnée excessive |
| Demander le numéro de sécurité sociale à la candidature | ❌ Illicite — donnée excessive à ce stade |
| Vérifier le profil LinkedIn public d'un candidat | ✅ Autorisé — données publiquement accessibles |
Testez vos connaissances sur les fondamentaux du RGPD.
1. Quelle est la différence fondamentale entre un Règlement et une Directive européenne ?
2. Une adresse IP est-elle une donnée personnelle selon le RGPD ?
3. Parmi ces 6 bases légales, laquelle est la plus restrictive (peut être retirée à tout moment) ?
4. Dans quel délai une organisation doit-elle notifier la CNIL en cas de violation de données personnelles ?
5. Quel est le montant maximum de sanction RGPD pour la violation d'un principe fondamental ?
Je suis prêt(e) à passer au Module 2 si je peux :
| Donnée personnelle | Identifie directement ou indirectement un individu. Les données sensibles (santé, biométrie...) ont une protection renforcée. |
| 7 principes (Art. 5) | Licéité, finalité, minimisation, exactitude, conservation, sécurité, accountability. |
| 6 bases légales (Art. 6) | Consentement, contrat, obligation légale, intérêt vital, intérêt public, intérêt légitime. |
| 8 droits (Art. 12–22) | Information, accès, rectification, effacement, limitation, portabilité, opposition, profilage. Délai : 1 mois. |
| Accountability | Obligation de prouver sa conformité par des documents (registre, AIPD, DPA sous-traitants). |
| Sanctions max. | 20 M€ ou 4% du CA mondial — record : Meta 1,2 milliard d'euros (2023). |
→ Module 2 : Les droits des personnes en détail, les obligations documentaires et la gestion des violations.