Droit du Numérique & Protection des Données

Module 2 : Droits des Personnes et Obligations des Entreprises

Classe 2025-2026
CODE : RGPD-102

Les Droits des Personnes et les Obligations des Entreprises

Ce module détaille les mécanismes concrets permettant aux citoyens d'exercer leur contrôle et les procédures internes que les organisations doivent impérativement déployer pour être conformes.

PROGRESSION DU MODULE
4 sections · ~50 min · Quiz inclus

2.1. Les Droits des Personnes Concernées (Art. 12–22)

Le RGPD place la personne au centre du dispositif via 8 droits fondamentaux. L'organisation a 1 mois pour répondre à toute demande (extensible à 3 mois pour les demandes complexes). L'exercice est toujours gratuit.

1. Information Art.13-14

Droit fondateur — savoir ce qu'on fait de vos données avant la collecte.

2. Accès Art.15

Obtenir une copie de toutes ses données traitées.

3. Rectification Art.16

Corriger des données inexactes ou incomplètes.

4. Effacement Art.17

Le "droit à l'oubli" — suppression sous conditions.

5. Limitation Art.18

Geler temporairement l'utilisation des données sans les supprimer.

6. Portabilité Art.20

Récupérer ses données dans un format réutilisable (JSON/CSV).

7. Opposition Art.21

S'opposer au traitement — absolu pour le marketing direct.

8. Décision auto. Art.22

Refuser d'être jugé uniquement par un algorithme sans intervention humaine.

⚠️ Le Droit à l'Information (Art. 13–14) — Le droit fondateur : Sans lui, aucun autre droit ne peut être exercé. Il s'exprime via la Politique de Confidentialité. L'information doit être concise, transparente, compréhensible et aisément accessible — pas en police de 6px au bas d'une page de 50 paragraphes.

Détail des 8 droits

La personne doit être informée au moment de la collecte (Art. 13) ou dans un délai raisonnable si les données ne viennent pas directement d'elle (Art. 14).

Mentions obligatoires : identité du RT, finalités et base légale, durées de conservation, destinataires, transferts hors UE éventuels, liste des droits, droit de saisir la CNIL.

Exemple de violation
Un formulaire de contact sans aucune mention sur qui collecte, pourquoi, ni combien de temps → violation de l'Art. 13.

La personne peut obtenir confirmation qu'un traitement la concernant existe et une copie de ses données. La réponse doit inclure les finalités, catégories de données, destinataires, durées de conservation et origine des données.

Exemple concret
Un salarié demande à son employeur toutes ses données RH (évaluations, absences, emails archivés). L'employeur doit tout fournir dans le mois, en occultant les données de tiers éventuellement mentionnées.

La personne peut demander la correction de données inexactes ou le complément de données incomplètes, sans frais ni justification.

  • Corriger une date de naissance erronée dans un dossier client
  • Ajouter un second prénom oublié dans un dossier médical
  • Mettre à jour une adresse postale dans un fichier de livraison

Délai : 1 mois maximum.

La personne peut demander la suppression dans 6 situations : données plus nécessaires, retrait du consentement, opposition sans motif impérieux, traitement illicite, obligation légale d'effacement, données d'un mineur.

Motif de refus valideExemple
Obligation légale de conservationDonnées comptables à conserver 10 ans
Liberté d'expressionArticle de presse sur une personne publique
Archivage d'intérêt publicDonnées historiques ou statistiques
Défense de droits en justiceDossier en cours de litige
💡 Google Spain (CJUE, 2014) : Affaire fondatrice du droit à l'oubli. La CJUE a reconnu le droit d'un citoyen espagnol d'obtenir le déréférencement de liens mentionnant ses difficultés financières passées.

Permet de suspendre temporairement l'utilisation des données sans les supprimer : contestation de l'exactitude, traitement illicite (préférence limitation vs effacement), données nécessaires pour un litige, ou pendant l'examen d'une opposition.

Exemple
Un candidat conteste son évaluation de recrutement. Pendant la vérification, l'entreprise ne peut plus utiliser ce dossier pour prendre une décision le concernant.

La personne peut récupérer les données qu'elle a elle-même fournies dans un format structuré (CSV, JSON) pour les transmettre ailleurs. Applicable uniquement aux traitements fondés sur le consentement ou un contrat, et automatisés.

Exemple concret
Changer d'opérateur téléphonique en récupérant son historique d'appels. Migrer son compte Spotify vers une autre plateforme.
⚠️ Portabilité ≠ Effacement. Récupérer ses données ne les supprime pas chez l'organisme d'origine. Il faut une demande d'effacement distincte.

Pour la prospection commerciale, ce droit est absolu : aucune justification requise, cessation immédiate. Pour les traitements basés sur l'intérêt légitime, la personne doit justifier d'une situation particulière.

TraitementOpposition ?Justification ?
Prospection marketing✅ Absolu❌ Non
Intérêt légitime✅ Sous conditions✅ Situation particulière
Exécution d'un contrat❌ Non
Obligation légale❌ Non
Exemple
Un clic sur "Se désabonner" d'une newsletter. L'entreprise a 10 jours maximum (règles françaises) pour cesser les envois.

La personne peut refuser d'être soumise à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs :

  • Refus automatique de crédit bancaire par un algorithme de scoring
  • Rejet automatique d'un CV par un ATS (Applicant Tracking System)
  • Calcul automatique d'une prime d'assurance sur profil comportemental
  • Résiliation automatique d'un contrat suite à une détection de fraude
💡 Exceptions autorisées : Si la décision est nécessaire à un contrat, autorisée par la loi, ou si consentement explicite. Dans ces cas, l'organisation doit garantir le droit à l'intervention humaine, à contester et à exprimer son point de vue.

Comment exercer ses droits ? (Art. 12)

ÉtapeModalité
La demandePar tout moyen : email, formulaire, courrier. L'organisation peut demander une preuve d'identité si doutes légitimes.
Le délai1 mois, extensible à 3 mois pour les demandes complexes (avec information dans le 1er mois).
Le coûtGratuit. Des frais ne peuvent être demandés que pour les demandes manifestement excessives ou répétitives.
Le recoursEn cas de non-réponse ou refus injustifié : saisine de la CNIL (formulaire en ligne) ou du tribunal judiciaire.

2.2. Les Obligations des Entreprises

Le principe d'Accountability impose de documenter sa conformité. Il ne suffit pas d'être conforme — il faut pouvoir le prouver à tout moment.

Obligation 1 — Base légale documentée pour chaque traitement

La base légale doit être choisie avant le traitement et documentée dans le registre.

Le traitement est-il exigé par une loi ?
  └─ OUI → Obligation légale
  └─ NON → S'inscrit-il dans un contrat avec la personne ?
            └─ OUI → Exécution d'un contrat
            └─ NON → Est-ce une mission de service public ?
                        └─ OUI → Mission d'intérêt public
                        └─ NON → L'intérêt légitime est-il justifiable ?
                                    └─ OUI → Intérêt légitime
                                    └─ NON → Recueillir le Consentement
⚠️ On ne peut pas changer de base légale en cours de route. Si un traitement est fondé sur le consentement et que celui-ci est retiré, l'organisation ne peut pas basculer rétrospectivement sur l'intérêt légitime.

Obligation 2 — Consentement valide (5 conditions cumulatives)

CritèreDéfinitionExemple de violation
LibrePas de sanction au refus"Acceptez les cookies ou payez 5€/mois"
SpécifiqueUn consentement par finalité distincteCase unique pour marketing + partage partenaires
ÉclairéLa personne comprend clairementLien vers 40 pages de CGU illisibles
UnivoqueActe positif — pas de case pré-cochéeCase "J'accepte" pré-cochée par défaut
RetirableAussi facile à retirer qu'à donnerBouton "Accepter" visible, "Retirer" introuvable
📋 Gestion dans la durée : Tenir un registre des consentements (qui, quand, pour quoi, via quel support). Le retrait doit être pris en compte immédiatement. Un consentement retiré ne remet pas en cause la licéité des traitements antérieurs.

Obligation 3 — Le Registre des Traitements (Art. 30)

Journal de bord central de la conformité. Obligatoire pour toutes les organisations (en pratique).

💡 Qui est obligé ? Toutes les organisations de plus de 250 salariés. Et les moins de 250 dont les traitements sont réguliers, concernent des données sensibles ou peuvent engendrer des risques. En pratique : presque toutes les entreprises.
Champ obligatoireExemple concret
Nom du traitementGestion de la paie
Responsable de traitementACME SAS, 12 rue des Lilas, Paris
FinalitéCalcul et versement des salaires
Catégories de personnesSalariés
Catégories de donnéesIdentité, coordonnées bancaires, données fiscales
DestinatairesService comptabilité, expert-comptable, URSSAF
Durée de conservation5 ans après la fin du contrat
Mesures de sécuritéAccès restreint au service RH, chiffrement des exports

Obligation 4 — Mesures de sécurité (Art. 32)

  • Chiffrement des données au repos et en transit (HTTPS, bases de données)
  • Pseudonymisation quand c'est possible
  • Contrôle des accès — principe du moindre privilège
  • Journalisation des accès (qui a consulté quoi et quand)
  • Sauvegardes régulières et testées
  • Tests d'intrusion et audits de sécurité réguliers
  • Formation régulière des équipes à la sécurité et au RGPD
  • Politique de mots de passe robuste (longueur, double authentification)
  • Charte informatique signée par tous les collaborateurs
  • Procédure en cas de violation de données (qui prévient qui, dans quel délai)
  • Clause RGPD (DPA) dans les contrats avec les sous-traitants (Art. 28)

Obligation 5 — Encadrer les sous-traitants (Art. 28)

Clauses obligatoires du DPA (Data Processing Agreement) :
  • Traitement des données uniquement sur instruction documentée du RT
  • Obligation de confidentialité pour les employés accédant aux données
  • Mise en place de mesures de sécurité appropriées
  • Pas de sous-sous-traitant sans autorisation préalable du RT
  • Assistance au RT pour l'exercice des droits des personnes
  • Suppression ou restitution des données à la fin du contrat
Exemple pratique
Une startup utilise AWS pour héberger sa base clients. Si une fuite survient côté AWS, la startup reste responsable devant la CNIL. Elle doit avoir signé un DPA avec AWS et vérifié sa conformité.

Obligation 6 — Le DPO (Art. 37)

Désignation obligatoire pour : les organismes publics, les organisations réalisant un suivi régulier et systématique à grande échelle, celles traitant à grande échelle des données sensibles.

Missions principales : conseiller le RT, contrôler la conformité interne, conseiller sur les AIPD, être l'interface avec la CNIL et les personnes concernées.
⚠️ Indépendance obligatoire : Le DPO ne peut pas être en conflit d'intérêts. Cumuler DPO + DSI est risqué. Il rapporte directement à la direction générale et ne peut être sanctionné pour l'exercice de ses fonctions.

2.3. Sécurité et Notification de Violation

Les 3 types de violations

TypeDescriptionExemple
ConfidentialitéAccès ou divulgation non autorisésPiratage, envoi au mauvais destinataire
IntégritéModification non autoriséeAltération de dossiers médicaux
DisponibilitéPerte ou destructionRansomware, incendie du datacenter
⚠️ Règle des 72 Heures (Art. 33) : Toute violation entraînant un risque doit être notifiée à la CNIL dans les 72 heures suivant sa découverte. Si le risque est élevé, les personnes concernées doivent aussi être prévenues directement (Art. 34).

Important : les 72h courent depuis la découverte, pas depuis que la violation s'est produite. Une notification partielle dans ce délai est acceptable.

Procédure en cas de violation

Découverte de la violation
    │
    ▼
Évaluation du risque pour les personnes
    │
   ┌┴──────────────────┐
Risque faible/nul             Risque élevé
    │                                         │                     │
Documenter            Notifier CNIL         Notifier les personnes
en interne              sous 72h (Art. 33)    (Art. 34)

L'Analyse d'Impact (AIPD / DPIA — Art. 35)

Obligatoire avant tout traitement à risque élevé : biométrie, IA, surveillance de masse, profilage à grande échelle...

  1. Description du traitement — Quoi, pourquoi, comment, par qui ?
  2. Nécessité et proportionnalité — Le traitement est-il vraiment utile ? Peut-on faire moins intrusif ?
  3. Identification des risques — Accès non autorisé, modification illégitime, disparition des données
  4. Mesures pour traiter les risques — Chiffrement, anonymisation, limitation d'accès
⚠️ Risque résiduel élevé : Si l'AIPD conclut à un risque que l'organisation ne peut pas atténuer, elle doit consulter la CNIL avant de lancer le traitement (Art. 36).

2.4. Le Régime des Sanctions

NiveauMontant MaxViolation type
Niveau 110 M€ ou 2% CA mondialOubli du registre, pas de DPO, faille de sécurité, absence de DPA, non-notification de violation.
Niveau 220 M€ ou 4% CA mondialNon-respect des droits des personnes, base légale invalide, violation des principes fondamentaux.

* C'est le montant le plus élevé entre le seuil fixe et le % du CA mondial qui s'applique.

Facteurs influençant la sanction

⬆️ Facteurs aggravants
  • Durée de la violation
  • Nombre de personnes affectées
  • Caractère intentionnel
  • Non-coopération avec la CNIL
  • Antécédents de violations
⬇️ Facteurs atténuants
  • Notification spontanée à la CNIL
  • Mesures correctives rapides
  • Coopération active avec l'enquêteur
  • Absence d'antécédents
  • PME vs multinationale

Sanctions emblématiques en Europe

50 M€
Google (France, 2019) — Manque de transparence, base légale insuffisante pour la publicité ciblée.
35,3 M€
H&M (Allemagne, 2020) — Surveillance excessive des salariés, collecte illicite de données privées.
225 M€
WhatsApp/Meta (Irlande, 2021) — Manque de transparence sur les traitements de données.
746 M€
Amazon (Luxembourg, 2021) — Publicité ciblée sans consentement valide.
150 M€
Google (France, 2022) — Cookies : impossible de refuser aussi facilement qu'accepter.
405 M€
Meta/Instagram (Irlande, 2022) — Traitement illicite des données d'enfants.
345 M€
TikTok (Irlande, 2023) — Données de mineurs, paramètres confidentialité par défaut.
1,2 Md€
Meta/Facebook (Irlande, 2023) — Transfert illicite vers les États-Unis. Record absolu.

Transferts hors UE (Art. 44–49)

MécanismePrincipeExemple
Décision d'adéquationProtection reconnue équivalente par la Commission européenneJapon, Canada, Royaume-Uni, États-Unis (Data Privacy Framework 2023)
Clauses contractuelles types (CCT)Contrat standardisé imposant des obligations RGPDTransfert vers une filiale américaine
BCRPolitique interne approuvée par la CNILTransferts intra-groupe multinational
DérogationsConsentement explicite, nécessité contractuelleTransfert ponctuel pour exécuter un contrat client hors UE
⚠️ Affaire Schrems II (CJUE, 2020) : Invalidation du "Privacy Shield" UE–États-Unis. Le Data Privacy Framework (2023) a rétabli un cadre légal, mais sa solidité juridique reste débattue.

Quiz de compréhension

🧠 Quiz — Module 2 : Droits et Obligations

1. Un utilisateur clique sur "Se désabonner" d'une newsletter. Quel droit exerce-t-il ?

2. Une banque refuse automatiquement un crédit via un algorithme. Quel droit le client peut-il invoquer ?

3. Exercer son droit à la portabilité supprime-t-il les données chez l'organisme d'origine ?

4. En cas de fuite représentant un risque élevé, que doit faire l'organisation ?

5. Quelle sanction maximale pour une violation des droits fondamentaux des personnes ?

Glossaire & Checklist

Glossaire du Module 2

Accountability — Obligation de prouver sa conformité par des documents (registre, AIPD, DPA...).
DPA — Data Processing Agreement : contrat obligatoire entre le RT et chaque sous-traitant (Art. 28).
AIPD / DPIA — Analyse d'Impact sur la Protection des Données, obligatoire pour les traitements à risque élevé.
Droit à l'oubli — Droit à l'effacement (Art. 17), soumis à conditions. Pas absolu.
Portabilité — Récupération de ses données en format structuré (CSV, JSON).
Violation de données — Incident entraînant destruction, perte, altération ou divulgation non autorisée.
CCT — Clauses Contractuelles Types, mécanisme de transfert de données hors UE.
Privacy Shield — Accord UE–États-Unis invalidé par la CJUE en 2020 (Schrems II).
Data Privacy Framework — Nouveau cadre UE–États-Unis adopté en 2023.
Dark pattern — Interface conçue pour tromper l'utilisateur (bouton "Refuser" caché, case pré-cochée...).

Checklist avant Module 3

Je suis prêt(e) si je peux :

  • Citer les 8 droits et leur article RGPD.
  • Expliquer la différence entre portabilité et effacement.
  • Décrire les conditions d'application du droit à l'oubli et ses limites.
  • Expliquer pourquoi le droit d'opposition est absolu pour le marketing.
  • Utiliser l'arbre de décision des bases légales.
  • Lister les 5 critères du consentement valide avec un exemple de violation.
  • Expliquer le rôle du DPO et ses obligations d'indépendance.
  • Décrire la procédure de notification en 72h et les deux niveaux d'alerte.

Résumé à retenir

→ Module 3 : Mise en pratique — risques, études de cas et audit de conformité d'une entreprise.