Droit du Numérique & Protection des Données

Module 3 : Mise en Pratique et Études de Cas

Classe B3 ASO 2025-2026
CODE : RGPD-103

Analyse de Conformité et Gestion des Risques

Ce module applicatif mobilise l'ensemble des acquis théoriques des Modules 1 et 2 pour analyser des situations réelles. L'objectif est de passer de la théorie à l'audit concret de conformité.

PROGRESSION DU MODULE
4 sections · Atelier Roule&Go · Quiz de synthèse

3.1. Les Risques de Non-Conformité

Une défaillance RGPD n'est pas qu'une amende — c'est un risque multidimensionnel et interdépendant. Une seule fuite de données peut déclencher simultanément les trois dimensions ci-dessous.

💸 Risques Financiers

Amendes CNIL (jusqu'à 4% du CA mondial), frais juridiques massifs, coûts de remédiation technique et hausse des primes d'assurance cyber.

📣 Risques Réputationnels

Effet "Name and Shame" via publication CNIL, perte de confiance client (80% des consommateurs quittent une entreprise après une violation), chute du cours de bourse.

⚙️ Risques Opérationnels

Interruption d'activité (ransomware, investigations forensiques), injonction CNIL de cesser les traitements, mobilisation des équipes pendant 72h minimum.

Tableau des coûts réels d'une violation

Type de coûtDescriptionOrdre de grandeur
Amende administrativeSanction CNIL / autorité européenneJusqu'à 4% du CA mondial
Frais juridiquesAvocats, procédures judiciaires50 000€ à plusieurs M€
Coûts de remédiationMise à niveau technique post-incident100 000€ à 1 M€+
Indemnisation des victimesAction civile collective (Art. 82)Variable — jurisprudence en construction
Perte de contrats B2BPartenaires exigeant la conformitéPertes potentiellement stratégiques
Assurance cyberHausse des primes après un incident+20% à +200% selon la sinistralité
Cas réel chiffré — Dedalus Biologie (2021) : Fuite de données médicales de 500 000 patients. Amende CNIL de 1,5 M€, mais les coûts totaux (remédiation, communication de crise, accompagnement juridique) ont été estimés à plusieurs millions d'euros supplémentaires.
Cas Cambridge Analytica (2018)
Facebook a permis l'accès aux données de 87 millions d'utilisateurs sans consentement. Au-delà de l'amende de 5 milliards de dollars aux États-Unis, Mark Zuckerberg a témoigné devant le Sénat américain. L'affaire a durablement terni l'image de Facebook et précipité l'adoption du RGPD en Europe.
Cas Garmin (2020) — Risque opérationnel
Suite à une attaque par ransomware, Garmin a interrompu ses services pendant 7 jours (GPS, Garmin Connect, service client). Rançon estimée à 10 millions de dollars. Des millions de données personnelles d'utilisateurs sportifs étaient en jeu.

Matrice des risques RGPD

RisqueProbabilitéImpactPriorité
Fuite de données clientsMoyenneTrès élevé🔴 Critique
Absence de base légale documentéeÉlevéeÉlevé🔴 Critique
Cookies non conformesÉlevéeMoyen🟠 Prioritaire
Registre des traitements absentÉlevéeMoyen🟠 Prioritaire
Absence de DPA avec sous-traitantsMoyenneÉlevé🟠 Prioritaire
DPO non nommé (si obligatoire)FaibleMoyen🟡 Modéré
Durées de conservation non respectéesMoyenneFaible🟡 Modéré

3.2. Analyse de Cas Sectoriels

🛒 Étude de Cas 1 : Le E-commerce (ShopFast)

ShopFast est une boutique en ligne vendant des vêtements. Elle collecte des données à chaque étape du parcours client.

Cartographie complète des traitements

TraitementDonnées collectéesBase légaleDurée de conservation
Création de compteNom, prénom, email, mot de passeContratDurée du compte + 3 ans après inactivité
CommandeAdresse de livraison, téléphoneContrat10 ans (obligations comptables)
PaiementCB via Stripe/PayPal (sous-traitant)ContratPAN masqué ; CVV jamais stocké
NewsletterEmail, préférencesConsentement3 ans après le dernier clic/ouverture
Cookies analytiquesNavigation, pages visitéesConsentement13 mois max (CNIL)
Cookies publicitairesProfil comportementalConsentement13 mois max (CNIL)
Service clientHistorique des échangesIntérêt légitime1 an après résolution
Détection de fraudeAdresse IP, historiqueIntérêt légitime1 an
⚠️ Points critiques :
  • Le CVV ne doit jamais être stocké (obligation PCI-DSS + RGPD combinées)
  • La newsletter nécessite un consentement spécifique et séparé des CGU d'inscription (case non pré-cochée)
  • La bannière cookies doit avoir des boutons "Accepter" et "Refuser" au même niveau visuel

Droits exercables par les clients de ShopFast

SituationDroit applicableRéponse attendue
Client veut savoir quelles données ShopFast détient sur luiDroit d'accès (Art. 15)Copie de toutes ses données sous 1 mois
Client veut changer son adresse emailDroit de rectification (Art. 16)Mise à jour sous 1 mois
Client veut supprimer son compteDroit à l'effacement (Art. 17)Suppression sauf données comptables (10 ans)
Client veut récupérer son historique de commandesDroit à la portabilité (Art. 20)Export CSV/JSON sous 1 mois
Client ne veut plus recevoir la newsletterDroit d'opposition (Art. 21)Immédiat — lien de désabonnement obligatoire
Client conteste une décision automatique de refusArt. 22Intervention humaine obligatoire
Points de vigilance ShopFast :
  • ✅ Tenir un registre des consentements newsletters (preuve en cas de plainte)
  • ✅ Vérifier que le prestataire de paiement a signé un contrat Art. 28 (DPA)
  • ✅ Purger les comptes inactifs depuis plus de 3 ans
  • ⚠️ Ne pas revendre la base clients à des partenaires sans consentement spécifique
  • ⚠️ Ne pas conserver les emails des désabonnés dans une liste "active"

📱 Étude de Cas 2 : L'Application Mobile (FitTrack)

FitTrack est une application de suivi d'activité physique demandant l'accès à la géolocalisation, au carnet d'adresses, à la caméra et aux données de santé.

1. La géolocalisation — principe de minimisation

Mode de géolocalisationRisqueBonne pratique
En continu (background)Très élevé — traçage permanentÀ éviter sauf nécessité absolue justifiée
À l'utilisation seulementModéréPréférable — demander au moment de l'utilisation
Géolocalisation approximativeFaibleÀ privilégier si la précision GPS n'est pas nécessaire
⚠️ Minimisation appliquée : FitTrack a-t-elle besoin de la position GPS au mètre ou une position approximative suffit-elle ? Pour la plupart des fonctionnalités sportives, la précision au quartier est suffisante.

2. Carnet d'adresses — tiers non-utilisateurs

⚠️ Point critique : Les contacts du carnet d'adresses ne sont pas des utilisateurs de FitTrack — ils n'ont pas consenti à la collecte de leurs données. La CNIL a sanctionné de nombreuses applications pour avoir importé massivement des carnets d'adresses.
Bonnes pratiques : Ne jamais stocker les contacts sur les serveurs — faire le matching localement sur l'appareil. N'importer que les hash des numéros de téléphone (comparaison cryptée). Obtenir un consentement granulaire et explicite pour cette fonctionnalité.

3. Données de santé — Art. 9 (catégorie spéciale)

DonnéesQualificationBase légale requise
Nombre de pas, distanceDonnées personnelles classiquesConsentement ou contrat
Fréquence cardiaque, VO2 maxDonnées de santéConsentement explicite (Art. 9 §2a)
Cycles menstruelsDonnées de santé très sensiblesConsentement explicite — stockage local recommandé
IMC, poidsDonnées de santéConsentement explicite
Cas Strava (2018) — Ré-identification de données
Strava a publié une "heatmap" des parcours de ses utilisateurs. Des chercheurs ont découvert que cette carte révélait l'emplacement de bases militaires secrètes en traçant les joggings des soldats. Illustration parfaite des risques de ré-identification à partir de données apparemment anodines.

4. Architecture de consentement granulaire recommandée

Installation de l'app
    │
    ▼
Fonctionnalités essentielles disponibles sans permission
(compteur de pas basique, sans GPS)
    │
  ┌─┴──────────────────────┐
  ▼                                     ▼
Permission GPS                   Permission santé
"Pour enregistrer vos parcours"   "Pour calculer les calories"
  │                                     │
Consentement au moment         Consentement explicite
d'activer la fonction                demandé séparément

5. Checklist de conformité FitTrack

Point de contrôleStatutAction si non conforme
Consentement explicite pour les données de santéÀ vérifierAjouter une case de consentement distincte
Géolocalisation "à l'utilisation" uniquementÀ vérifierModifier les paramètres de demande d'autorisation
Carnet d'adresses non stocké côté serveurÀ vérifierPasser au matching local (hash)
Paramètres sociaux fermés par défaut (Privacy by Default)À vérifierInverser le paramètre par défaut
DPA signé avec les SDK tiers (analytics, publicité)À vérifierAuditer tous les SDK intégrés
Information affichée avant chaque permissionÀ vérifierAjouter des écrans d'explication pre-permission

🏥 Étude de Cas 3 : Cabinet Médical Saint-Luc

Cabinet de groupe regroupant 5 médecins généralistes. Il gère les dossiers patients, la prise de RDV en ligne (Doctolib), les prescriptions et les rappels SMS.

⚠️ Spécificité majeure : Le cabinet traite massivement des données de santé (Art. 9) — catégorie spéciale avec obligations renforcées. De plus, Doctolib est sous-traitant du cabinet. Si Doctolib subit une fuite, c'est le cabinet qui doit notifier la CNIL et les patients.
TraitementBase légaleParticularité
Dossier médicalIntérêt vital + obligations légalesConservation 20 ans après la dernière consultation
Rappels SMSIntérêt légitimeLe message ne doit pas mentionner le motif médical
Prise de RDV DoctolibContratDoctolib est sous-traitant : DPA obligatoire
Facturation CPAMObligation légaleDonnées transmises à la Sécurité Sociale
Partage avec spécialistesIntérêt vital du patientConsentement recommandé hors urgence
Obligations spécifiques secteur médical :
  • Secret médical (Art. 226-13 du Code pénal) + RGPD combinés
  • AIPD obligatoire — traitement à grande échelle de données de santé
  • Hébergeur de Données de Santé (HDS) certifié obligatoire pour tout sous-traitant stockant des données médicales
  • Durée de conservation : 20 ans après la dernière consultation pour le dossier adulte (décret 2016-46)

🛠️ Atelier Final : Audit de Conformité de "Roule&Go"

Startup de location de trottinettes électriques · 150 000 utilisateurs · 800 trottinettes · 3 villes françaises

Description de Roule&Go

  • Nom, prénom, date de naissance, email, téléphone
  • Photo de pièce d'identité (pour les -18 ans)
  • Coordonnées bancaires (IBAN ou carte bleue)
  • Géolocalisation en continu, même en arrière-plan (background)
  • Trajet complet (début, fin, itinéraire GPS précis)
  • Vitesse instantanée tout au long du trajet
  • Comportement de conduite (freinages brusques, départs rapides)
  1. À l'inscription : une case unique "J'accepte les CGU, la politique de confidentialité et consens aux offres commerciales de Roule&Go et ses partenaires."
  2. Données de trajets conservées indéfiniment
  3. Données de comportement partagées avec 3 compagnies d'assurance sans information des utilisateurs
  4. Transmission automatique des trajets à la police dès toute "demande" (sans vérifier s'il s'agit d'une réquisition légale formelle)
  5. Pas de DPO désigné, pas de registre des traitements
  6. Un salarié a envoyé accidentellement un fichier avec les noms et emails de 12 000 clients à un prestataire non autorisé — incident non notifié à la CNIL
Situation Critique : Ce scénario contient au moins 6 violations caractérisées du RGPD. Votre mission est de les identifier, les documenter et proposer un plan d'action.

Étape 1 — Cartographier les données personnelles

DonnéeType (ordinaire / sensible)Moment de collecteNécessaire ?
Nom, prénomOrdinaireInscription✅ Oui
Date de naissanceOrdinaireInscription✅ Oui (vérification âge)
Photo de pièce d'identitéSensible (données personnelles renforcées)Inscription⚠️ Discutable — mesures de sécurité renforcées requises
IBAN / Carte bancaireDonnée financière sensibleInscription✅ Oui (paiement)
Géolocalisation en continuOrdinaire (mais révélatrice)Utilisation❌ Non — localisation au départ/arrivée suffit
Itinéraire completOrdinaireUtilisation⚠️ Discutable — nécessaire à la facturation, pas à la conservation indéfinie
Vitesse instantanéeOrdinaireUtilisation⚠️ Discutable — utile pour la sécurité, justification requise
Comportement de conduiteOrdinaire (mais profilant)Utilisation❌ Non pour partage assureurs sans information

Étape 2 — Évaluer les 7 principes du RGPD

PrincipeRespecté ?Violation identifiéeRecommandation
Licéité, loyauté, transparenceCase unique mélange CGU + consentement marketing → consentement invalideSéparer les consentements en cases distinctes
Limitation des finalitésDonnées de conduite collectées pour "améliorer le service" mais partagées avec des assureurs → finalité incompatibleInformer explicitement de ce partage ou y renoncer
Minimisation des donnéesGéolocalisation en continu (background) non proportionnée — localisation départ/arrivée suffitPasser à une géolocalisation "à l'utilisation"
ExactitudeNon évaluablePas d'information sur des procédures de mise à jourPermettre à l'utilisateur de corriger ses données
Limitation de la conservationDonnées de trajets conservées "indéfiniment" — aucune durée définieDéfinir une durée (ex. 1 an) et mettre en place des purges
Intégrité et confidentialitéEnvoi accidentel à un prestataire non autorisé → violation non notifiée (double violation)Notifier la CNIL immédiatement + renforcer les accès
AccountabilityPas de DPO (obligatoire), pas de registre des traitementsDésigner un DPO + créer le registre dans le mois

Étape 3 — Violations caractérisées

#ViolationArticle RGPDNiveau de sanction
1Case de consentement groupée (CGU + marketing + partage partenaires)Art. 7Niveau 2 jusqu'à 20 M€
2Partage des données de conduite avec les assureurs sans informationArt. 5 §1b (limitation finalités) + Art. 13Niveau 2 jusqu'à 20 M€
3Géolocalisation en continu (background) — non proportionnéeArt. 5 §1c (minimisation)Niveau 2 jusqu'à 20 M€
4Données de trajets conservées indéfinimentArt. 5 §1e (limitation conservation)Niveau 2 jusqu'à 20 M€
5Violation de données non notifiée à la CNIL (12 000 clients)Art. 33Niveau 1 jusqu'à 10 M€
6Absence de DPO + absence de registre des traitementsArt. 37 + Art. 30Niveau 1 jusqu'à 10 M€
⚠️ Point délicat — Transmission à la police : Transmettre des données à la police nécessite une réquisition judiciaire formelle (art. 60 du Code de procédure pénale). Répondre à toute "demande" sans vérification est une violation de la confidentialité des données.

Étape 4 — Droits exercables par les utilisateurs de Roule&Go

SituationDroit applicableObligation de Roule&Go
Utilisateur veut savoir si Roule&Go a partagé ses données avec des assureursDroit d'accès (Art. 15)Fournir la liste des destinataires sous 1 mois
Utilisateur veut supprimer son compte et toutes ses donnéesDroit à l'effacement (Art. 17)Supprimer sauf données légalement obligatoires (comptabilité)
Utilisateur conteste la vitesse enregistrée (pénalité)Droit de rectification (Art. 16)Corriger si erreur prouvée ; intervention humaine si décision automatisée
Utilisateur veut récupérer 6 mois de trajetsDroit à la portabilité (Art. 20)Export en CSV/JSON sous 1 mois (données fournies activement)
Utilisateur ne veut plus recevoir d'offres commercialesDroit d'opposition (Art. 21)Cessation immédiate et absolue
Utilisateur veut savoir pourquoi son compte a été suspendu automatiquementArt. 22 (décisions automatisées)Expliquer la logique + permettre une intervention humaine

Étape 5 — Plan d'action de mise en conformité

🔴 Actions urgentes (immédiat — délais RGPD déjà dépassés)
ActionResponsableDélai
Notifier la CNIL pour la violation des 12 000 clientsDirection + futur DPOImmédiat (72h dépassées — notifier avec justification du retard)
Notifier les 12 000 personnes concernées si le risque est élevéDirectionDans les meilleurs délais (Art. 34)
Suspendre le partage des données de conduite avec les assureursDirection juridiqueImmédiat
🟠 Actions prioritaires (dans les 3 mois)
ActionResponsableDélai
Désigner un DPO (obligatoire — suivi à grande échelle de 150 000 utilisateurs)Direction1 mois
Créer le registre des activités de traitement (Art. 30)DPO2 mois
Refondre la case de consentement en consentements séparés et granulairesTech + DPO2 mois
Définir des durées de conservation et mettre en place des purges automatiquesDPO + Tech3 mois
Passer la géolocalisation en mode "à l'utilisation" uniquementTech2 mois
🟢 Actions à planifier (6 à 12 mois)
ActionResponsableDélai
Réaliser une AIPD (géolocalisation + comportement de conduite)DPO6 mois
Former les équipes au RGPD et à la gestion des incidentsDPO + RH6 mois
Auditer les SDK et outils tiers — signer des DPA avec chacunDPO + Tech9 mois
Mettre en place un canal officiel pour les demandes d'exercice de droitsDPO3 mois

3.3. Méthode : Réaliser un Audit RGPD en 5 Étapes

1
Data Mapping — Cartographier les données

Répondre à : Quoi ? Pourquoi ? Qui ? Où ? Combien de temps ? Outils : tableur, logiciel dédié (OneTrust, Didomi, Privacyboard...), entretiens avec les métiers.

2
Évaluation des bases légales

Pour chaque traitement : quelle base légale est utilisée ? Est-elle documentée ? Si consentement : existe-t-il une preuve ? Si intérêt légitime : un test d'équilibre a-t-il été réalisé ?

3
Audit sécurité (Art. 32)

Les données sont-elles chiffrées ? Les accès respectent-ils le principe du moindre privilège ? Les sous-traitants ont-ils signé un DPA ? Une procédure d'incidents existe-t-elle ?

4
Gestion des droits des personnes

Existe-t-il un canal officiel pour exercer ses droits (email dédié, formulaire) ? Le délai d'1 mois est-il respecté ? Les demandes sont-elles tracées ?

5
Rapport et plan d'action

Score de conformité par domaine. Risques identifiés et priorisés. Plan d'action avec responsables et délais. Calendrier de revue annuel recommandé.

💡 Privacy by Design & Privacy by Default (Art. 25) : La conformité RGPD doit être intégrée dès la conception des produits et services, pas ajoutée a posteriori. Les paramètres doivent être les plus protecteurs par défaut (Privacy by Default) — les utilisateurs choisissent d'ouvrir, pas de fermer.

Quiz de synthèse — Module 3

🧠 Quiz final — Mise en pratique RGPD

1. Roule&Go partage des données de comportement de conduite avec des assureurs sans en informer les utilisateurs. Quel principe du RGPD est violé en priorité ?

2. La géolocalisation en continu (background) d'une app de trottinettes viole quel principe ?

3. La fréquence cardiaque enregistrée par FitTrack est une donnée de santé (Art. 9). Quelle base légale s'applique ?

4. Roule&Go n'a pas notifié la CNIL pour la fuite des 12 000 clients. En plus de la violation de données, quelle autre infraction commet-elle ?

5. Dans un audit RGPD, quelle est la première étape à réaliser ?

Glossaire & Synthèse finale

Glossaire du Module 3

Data Mapping — Cartographie de tous les traitements de données : quoi, pourquoi, qui, où, combien de temps.
Privacy by Design — Intégration de la protection des données dès la conception d'un produit ou service (Art. 25).
Privacy by Default — Paramètres les plus protecteurs activés par défaut pour les utilisateurs (Art. 25).
Permission harvesting — Pratique illicite consistant à demander toutes les permissions au lancement d'une app.
Dark pattern — Interface conçue pour induire en erreur (bouton "Refuser" caché, case pré-cochée...).
Ré-identification — Reconstruction de l'identité d'une personne à partir de données apparemment anonymes.
PCI-DSS — Standard de sécurité des données de paiement (cartes bancaires) — interdit le stockage du CVV.
HDS — Hébergeur de Données de Santé — certification obligatoire pour stocker des données médicales.
noyb — Organisation européenne de défense de la vie privée, fondée par Max Schrems. Coordonne des plaintes collectives.
Art. 82 — Droit à réparation : toute personne lésée peut réclamer des dommages et intérêts.

Tableau de synthèse du cursus

ThèmePoints clés
Risques financiersAmendes, frais juridiques, remédiation, actions civiles (Art. 82)
Risques réputationnelsName and shame, perte de clients, atteinte à la marque
Risques opérationnelsInterruption de service, injonctions de cesser, forensique
E-commerceConsentement newsletter distinct, cookies conformes, DPA paiement
App mobileGéolocalisation proportionnée, consentement granulaire, Art. 9
Secteur médicalSecret médical + RGPD, HDS, 20 ans de conservation
Méthode d'auditData mapping → bases légales → sécurité → droits → plan d'action
Principe cléPrivacy by Design + Privacy by Default dès la conception

Synthèse du Cursus RGPD

  • Module 1 — Comprendre les principes : données, traitements, 7 principes, 6 bases légales, 8 droits
  • Module 2 — Gérer les obligations : consentement, registre, DPO, sécurité, 72h, sous-traitants
  • Module 3 — Analyser les risques et auditer : cas concrets, Roule&Go, méthode d'audit
  • Pour aller plus loin — cnil.fr, référentiels sectoriels, certification CIPP/E (IAPP)