Droit du Numérique & Protection des Données

Conformité et Gouvernance des Données

Classe 2025-2026
CODE : RGPD-101

Module 1 — Introduction au RGPD et ses Principes Fondamentaux

Ce module pose les bases juridiques et techniques de la protection des données en Europe. Comprendre le RGPD n'est pas seulement une obligation légale, c'est un pilier de la confiance numérique.

PROGRESSION DU MODULE
7 sections · ~45 min de lecture · Quiz inclus

1.1. Qu'est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD), ou GDPR en anglais, est le cadre juridique de référence pour la protection des données personnelles dans l'Union Européenne depuis le 25 mai 2018. Il remplace la Directive 95/46/CE de 1995, devenue obsolète face à l'explosion du numérique.

💡 Pourquoi un Règlement et non une Directive ?
Une directive doit être transposée dans chaque droit national (marge de manœuvre par pays). Un règlement s'applique directement et uniformément partout en Europe, sans loi nationale supplémentaire. Le RGPD est donc immédiatement applicable dans les 27 États membres.

Les 3 objectifs fondateurs

🧑‍💻 Redonner le contrôle aux citoyens

Les individus doivent pouvoir savoir quelles données sont collectées, pourquoi, par qui, et avoir le droit de les modifier ou supprimer.

🇪🇺 Harmoniser les lois en Europe

Avant 2018, chaque pays avait sa propre loi. Une entreprise opérant dans 27 pays devait respecter 27 législations différentes. Le RGPD crée un cadre unique.

🏛️ Responsabiliser les organisations

Les entreprises ne doivent plus "cocher des cases". Elles doivent être capables de prouver leur conformité à tout moment — c'est le principe d'accountability.

Contexte historique

ÉpoqueÉvénement
1995Directive 95/46/CE — Première harmonisation européenne sur la protection des données.
2000–2010Explosion d'internet, des réseaux sociaux (Facebook 2004, Twitter 2006) et de la publicité ciblée.
2013Révélations d'Edward Snowden sur la surveillance massive de la NSA (programme PRISM).
2016Adoption du RGPD par le Parlement européen.
25 mai 2018Entrée en application du RGPD dans toute l'Union Européenne.
2018 → aujourd'huiPremières sanctions majeures : Google (50 M€), Amazon (746 M€), Meta (1,2 Md€ — record absolu).

Les Concepts Clés

📌 Donnée personnelle (Art. 4 §1)
"Toute information se rapportant à une personne physique identifiée ou identifiable."

Une personne est identifiable directement ou indirectement, notamment par référence à un identifiant — nom, numéro, données de localisation, identifiant en ligne...

TypeExemples
Directement identifiantesNom, prénom, photo, numéro de sécurité sociale
Indirectement identifiantesAdresse IP, cookies, identifiant publicitaire, plaque d'immatriculation
Données sensibles (Art. 9 — protection renforcée)Origine ethnique, opinions politiques, santé, orientation sexuelle, données biométriques
Non-personnellesDonnées anonymisées, statistiques agrégées sans possibilité de ré-identification
⚠️ Attention à la pseudonymisation :
Une donnée pseudonymisée (ex. : remplacer un nom par un code) reste une donnée personnelle si la ré-identification est possible. Elle n'est pas anonymisée. L'anonymisation doit être irréversible pour sortir du champ du RGPD.

Traitement de données (Art. 4 §2)

Le traitement englobe toute opération effectuée sur des données personnelles, automatisée ou non :

📥 Collecte
💾 Enregistrement
🗂️ Organisation
📤 Communication
👁️ Consultation
🗑️ Effacement

Responsable de traitement (RT) vs Sous-traitant

📌 Responsable de traitement (Art. 4 §7)
Détermine les finalités (le pourquoi) et les moyens (le comment) du traitement. C'est lui qui est responsable devant la CNIL.
📌 Sous-traitant (Art. 4 §8)
Traite les données pour le compte et sur instruction du responsable de traitement. Il ne décide pas des finalités.
Responsable de traitementSous-traitant
Entreprise utilisant un logiciel RHÉditeur du logiciel (Workday, Sage)
E-commerce gérant ses commandesPrestataire logistique (DHL, UPS)
Startup envoyant des emails marketingPlateforme d'emailing (Mailchimp, Brevo)
Banque hébergeant ses donnéesFournisseur cloud (AWS, Microsoft Azure)
⚠️ Responsabilité conjointe : Deux entités peuvent être co-responsables de traitement si elles déterminent ensemble les finalités et les moyens (ex. : une franchise et son franchiseur partageant une base clients commune).

1.2. Les 7 Principes Fondamentaux (Art. 5)

Ces 7 principes sont le socle de toute démarche de conformité. Tout manquement à l'un d'eux peut entraîner une sanction de niveau 2 (jusqu'à 20 M€ ou 4% du CA mondial).

Tout traitement doit reposer sur une base légale, être conduit sans tromper l'utilisateur (loyauté) et les personnes doivent savoir ce qui se passe avec leurs données (transparence).

Exemple de violation
Un site e-commerce qui collecte des emails pour envoyer des confirmations de commande mais les utilise aussi pour de la prospection sans le dire → violation de la transparence.

Les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes. Elles ne peuvent pas être réutilisées de façon incompatible avec la finalité initiale.

Exemple de violation
Collecter les adresses des salariés pour l'envoi des bulletins de paie, puis les utiliser pour une campagne marketing → violation de la limitation des finalités.

Seules les données adéquates, pertinentes et limitées à ce qui est nécessaire doivent être collectées. On ne collecte pas "au cas où".

Exemple de violation
Un formulaire d'inscription à une newsletter demandant la date de naissance, la profession et le téléphone alors que seul l'email est nécessaire → violation de la minimisation.

Les données doivent être exactes et tenues à jour. Des mesures raisonnables doivent être prises pour effacer ou rectifier les données inexactes.

Exemple de violation
Un fichier client contenant des adresses postales vieilles de 10 ans, jamais mises à jour → violation du principe d'exactitude.

Les données ne doivent pas être conservées plus longtemps que nécessaire. Des durées de conservation doivent être définies et respectées.

Type de donnéesDurée typique
Données clients (prospection)3 ans après le dernier contact
Données RH (contrat de travail)5 ans après la fin du contrat
Logs de connexion1 an (obligation légale en France)
Vidéosurveillance30 jours maximum
Données médicales10 à 20 ans selon le contexte

Les données doivent être traitées de façon à garantir leur sécurité : protection contre l'accès non autorisé, la perte ou la destruction.

  • Chiffrement des données au repos et en transit
  • Contrôle d'accès (principe du moindre privilège)
  • Sauvegardes régulières et testées
  • Formation des équipes à la sécurité

Le responsable de traitement doit être capable de démontrer qu'il respecte les 6 principes précédents. La conformité ne se présume pas — elle se prouve.

  • Tenir un Registre des Activités de Traitement (Art. 30)
  • Réaliser des Analyses d'Impact (AIPD) pour les traitements à risque
  • Nommer un DPO si nécessaire
  • Documenter toutes les décisions et mesures prises

1.3. Les 6 Bases Légales (Art. 6)

Tout traitement doit reposer sur l'une de ces 6 bases légales. Sans base légale valide, le traitement est illicite. La base légale doit être choisie avant le traitement et documentée.

Base légaleExemple concretPoints de vigilance
ConsentementInscription volontaire à une newsletter.Doit être libre, spécifique, éclairé, univoque et retirable.
ContratAdresse de livraison pour une commande en ligne.Ne couvre que ce qui est strictement nécessaire à l'exécution.
Obligation légaleConservation des fiches de paie (Code du travail).La loi doit explicitement imposer le traitement.
Intérêt vitalDonnées médicales en cas d'urgence vitale.Réservé aux situations où la vie est en danger.
Mission publiqueGestion des listes électorales.Réservé aux autorités publiques et organismes délégués.
Intérêt légitimeSécurité des réseaux, lutte contre la fraude.Nécessite un test d'équilibre avec les droits des personnes.
💡 Le consentement n'est pas toujours la meilleure base légale.
Si l'exécution d'un contrat justifie le traitement, utiliser le consentement est une erreur. De plus, un consentement peut être retiré à tout moment, ce qui complexifie la gestion des données.

Les 5 conditions du consentement valide

Libre — Pas de déséquilibre de pouvoir. L'utilisateur ne doit subir aucune conséquence négative s'il refuse.

Violation : "Acceptez les cookies ou payez 5€/mois" — le consentement n'est pas libre car il y a une contrainte financière.

Spécifique — Un consentement par finalité distincte. On ne peut pas regrouper plusieurs traitements différents dans une seule case.

Violation : Une seule case "J'accepte tout" couvrant à la fois le marketing direct et le partage avec des partenaires.

Éclairé — La personne comprend clairement à quoi elle consent : qui collecte, quelles données, pour quelles finalités, combien de temps.

Violation : Lien vers 40 pages de CGU en jargon juridique, sans résumé compréhensible.

Univoque — Acte positif clair. Pas de cases pré-cochées, pas de déduction par inaction ("si vous ne répondez pas dans 7 jours, vous acceptez").

Violation : Une case pré-cochée "J'accepte de recevoir des offres commerciales" — le consentement n'est pas univoque.

Retirable — Aussi facile à retirer qu'à donner. Un bouton "Accepter" visible ne suffit pas si le bouton "Retirer" est introuvable.

Violation : L'inscription à la newsletter se fait en un clic, mais pour se désabonner il faut envoyer un courrier postal recommandé.

1.4. Les 8 Droits des Personnes (Art. 12–22)

Le RGPD confère 8 droits majeurs aux personnes. L'organisation doit répondre à toute demande dans un délai d'1 mois (extensible à 3 mois). L'exercice de ces droits est gratuit.

DroitArticleEn pratique
Droit à l'informationArt. 13–14Être informé lors de la collecte via la politique de confidentialité.
Droit d'accèsArt. 15Obtenir une copie de toutes les données détenues.
Droit de rectificationArt. 16Corriger des données inexactes ou incomplètes.
Droit à l'effacement (droit à l'oubli)Art. 17Demander la suppression de ses données sous conditions.
Droit à la limitationArt. 18Suspendre temporairement l'utilisation de ses données.
Droit à la portabilitéArt. 20Récupérer ses données dans un format structuré et lisible (CSV, JSON...).
Droit d'oppositionArt. 21S'opposer à un traitement — absolu pour la prospection commerciale.
Droit relatif au profilageArt. 22Ne pas faire l'objet d'une décision automatisée sans intervention humaine.
💡 Cas pratique — Droit à l'oubli :
Un candidat demande la suppression de son CV d'une base de recrutement. L'entreprise a 1 mois pour répondre. Elle peut refuser si elle a une obligation légale de conserver les données (ex. : données comptables liées à un contrat signé). En cas de refus, la personne peut saisir la CNIL.
💡 Cas pratique — Décisions automatisées (Art. 22) :
Un algorithme bancaire refuse automatiquement un crédit. La personne peut demander une intervention humaine, exprimer son point de vue et contester la décision. L'organisation doit mettre en place ces garanties si les décisions automatisées produisent des effets juridiques.

1.5. Acteurs et Sanctions

Le DPO (Délégué à la Protection des Données)

Le DPO est le chef d'orchestre de la conformité RGPD en interne. Sa désignation est obligatoire dans 3 cas (Art. 37) :

Mission du DPODétail
ConseilInformer et conseiller le RT, les sous-traitants et les employés
Contrôle interneVérifier que les traitements respectent le RGPD
AIPDConseiller sur la réalisation des analyses d'impact
Interface CNILPoint de contact avec l'autorité de contrôle
Interface personnesPoint de contact pour les demandes d'exercice de droits
⚠️ Indépendance du DPO : Le DPO ne peut pas être en situation de conflit d'intérêts. Cumuler les fonctions de DPO et de DSI (décisionnaire sur les traitements) est risqué. Il rapporte directement à la direction générale.

La CNIL — Autorité de contrôle en France

La CNIL est l'autorité de contrôle française indépendante. Chaque État membre a la sienne (ICO au Royaume-Uni, BfDI en Allemagne...). Elle peut recevoir des plaintes, réaliser des contrôles et prononcer des sanctions.

Niveau des sanctions (Art. 83) :
Niveau 1 — Jusqu'à 10 M€ ou 2% du CA mondial
Manquements aux obligations techniques : sécurité, DPO, registre, notification de violation
Niveau 2 — Jusqu'à 20 M€ ou 4% du CA mondial
Violations des principes fondamentaux, des droits des personnes, des bases légales

Sanctions emblématiques

50 M€Google (2019, France) — Manque de transparence, base légale insuffisante pour la publicité ciblée.
746 M€Amazon (2021, Luxembourg) — Publicité comportementale sans consentement valide.
405 M€Meta / Instagram (2022, Irlande) — Traitement illicite des données d'enfants.
1,2 Md€Meta / Facebook (2023, Irlande) — Transfert illicite de données vers les États-Unis. Record absolu.

1.6. Les Obligations Pratiques

Le Registre des Activités de Traitement (Art. 30)

Le registre est la colonne vertébrale de la conformité RGPD. Il recense tous les traitements de données effectués par l'organisation.

Qui est obligé ? Toutes les organisations de plus de 250 salariés. Et les organisations de moins de 250 salariés dont les traitements sont réguliers, concernent des données sensibles ou peuvent engendrer des risques. En pratique, presque toutes les entreprises sont concernées.
Champ du registreExemple
Nom du traitementGestion de la paie
Responsable de traitementACME SAS, 12 rue des Lilas, Paris
FinalitéCalcul et versement des salaires
Catégories de personnesSalariés
Catégories de donnéesIdentité, coordonnées bancaires, données fiscales
DestinatairesService comptabilité, expert-comptable, URSSAF
Durée de conservation5 ans après la fin du contrat
Mesures de sécuritéAccès restreint au service RH, chiffrement des exports

L'Analyse d'Impact (AIPD / DPIA — Art. 35)

L'AIPD est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les personnes :

La Notification de Violation de Données (Art. 33–34)

En cas de violation (fuite, piratage, perte d'un disque dur...), l'organisation doit notifier la CNIL dans les 72 heures suivant la découverte. Si le risque est élevé, les personnes concernées doivent aussi être notifiées directement (Art. 34).

1.7. RGPD dans la Pratique

Cas 1 — Le cookie banner

Depuis les lignes directrices de la CNIL (2020), les sites web doivent :

Exemple de violation
Un site qui dépose des cookies analytiques dès l'arrivée de l'utilisateur, sans attendre son choix → illicite (Google condamné à 150 M€ en 2022 pour exactement ce motif).

Cas 2 — L'email marketing

SituationLégal ?Explication
Newsletter à un abonné ayant coché une case non pré-remplieConsentement valide
Newsletter à un client pour des produits similairesIntérêt légitime B2C — opt-out obligatoire
Campagne vers une liste d'emails achetéeAucune base légale, aucune information préalable
Email à d'anciens clients inactifs depuis 4 ansDurée de conservation dépassée (3 ans max)

Cas 3 — Le recrutement

PratiqueStatut RGPD
Conserver un CV non retenu✅ Maximum 2 ans après le dernier contact
Demander la photo du candidat⚠️ Déconseillé — risque de discrimination, donnée excessive
Demander le numéro de sécurité sociale à la candidatureIllicite — donnée excessive à ce stade
Vérifier le profil LinkedIn public d'un candidatAutorisé — données publiquement accessibles

Quiz de compréhension

Testez vos connaissances sur les fondamentaux du RGPD.

🧠 Quiz — Module 1 : Introduction au RGPD

1. Quelle est la différence fondamentale entre un Règlement et une Directive européenne ?

2. Une adresse IP est-elle une donnée personnelle selon le RGPD ?

3. Parmi ces 6 bases légales, laquelle est la plus restrictive (peut être retirée à tout moment) ?

4. Dans quel délai une organisation doit-elle notifier la CNIL en cas de violation de données personnelles ?

5. Quel est le montant maximum de sanction RGPD pour la violation d'un principe fondamental ?

Glossaire & Checklist

Glossaire des termes essentiels

RGPD — Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018.
Donnée personnelle — Toute info identifiant directement ou indirectement une personne physique.
Traitement — Toute opération sur des données : collecte, stockage, consultation, effacement...
RT (Responsable de Traitement) — Détermine le pourquoi et le comment du traitement.
Sous-traitant — Traite les données pour le compte du RT, sur ses instructions.
DPO — Délégué à la Protection des Données, référent RGPD interne.
CNIL — Autorité de contrôle française, indépendante.
Accountability — Obligation de prouver sa conformité par des documents.
AIPD (DPIA) — Analyse d'Impact sur la Protection des Données, obligatoire pour les traitements à risque élevé.
Pseudonymisation — Remplacement d'un identifiant direct par un code — la donnée reste personnelle.

Checklist avant Module 2

Je suis prêt(e) à passer au Module 2 si je peux :

  • Expliquer pourquoi le RGPD est un Règlement et non une Directive.
  • Donner 3 exemples de données personnelles directes et 3 indirectes.
  • Distinguer Responsable de Traitement et Sous-traitant.
  • Citer les 7 principes fondamentaux de l'Article 5.
  • Choisir la bonne base légale pour 3 situations différentes.
  • Lister les 8 droits des personnes et leur article RGPD.
  • Expliquer le délai de notification de violation de données.
  • Citer 2 sanctions CNIL réelles avec leur montant.

Résumé du Module 1

Donnée personnelleIdentifie directement ou indirectement un individu. Les données sensibles (santé, biométrie...) ont une protection renforcée.
7 principes (Art. 5)Licéité, finalité, minimisation, exactitude, conservation, sécurité, accountability.
6 bases légales (Art. 6)Consentement, contrat, obligation légale, intérêt vital, intérêt public, intérêt légitime.
8 droits (Art. 12–22)Information, accès, rectification, effacement, limitation, portabilité, opposition, profilage. Délai : 1 mois.
AccountabilityObligation de prouver sa conformité par des documents (registre, AIPD, DPA sous-traitants).
Sanctions max.20 M€ ou 4% du CA mondial — record : Meta 1,2 milliard d'euros (2023).

→ Module 2 : Les droits des personnes en détail, les obligations documentaires et la gestion des violations.