Module 3 : Mise en Pratique et Études de Cas
Ce module applicatif mobilise l'ensemble des acquis théoriques des Modules 1 et 2 pour analyser des situations réelles. L'objectif est de passer de la théorie à l'audit concret de conformité.
Une défaillance RGPD n'est pas qu'une amende — c'est un risque multidimensionnel et interdépendant. Une seule fuite de données peut déclencher simultanément les trois dimensions ci-dessous.
Amendes CNIL (jusqu'à 4% du CA mondial), frais juridiques massifs, coûts de remédiation technique et hausse des primes d'assurance cyber.
Effet "Name and Shame" via publication CNIL, perte de confiance client (80% des consommateurs quittent une entreprise après une violation), chute du cours de bourse.
Interruption d'activité (ransomware, investigations forensiques), injonction CNIL de cesser les traitements, mobilisation des équipes pendant 72h minimum.
| Type de coût | Description | Ordre de grandeur |
|---|---|---|
| Amende administrative | Sanction CNIL / autorité européenne | Jusqu'à 4% du CA mondial |
| Frais juridiques | Avocats, procédures judiciaires | 50 000€ à plusieurs M€ |
| Coûts de remédiation | Mise à niveau technique post-incident | 100 000€ à 1 M€+ |
| Indemnisation des victimes | Action civile collective (Art. 82) | Variable — jurisprudence en construction |
| Perte de contrats B2B | Partenaires exigeant la conformité | Pertes potentiellement stratégiques |
| Assurance cyber | Hausse des primes après un incident | +20% à +200% selon la sinistralité |
| Risque | Probabilité | Impact | Priorité |
|---|---|---|---|
| Fuite de données clients | Moyenne | Très élevé | 🔴 Critique |
| Absence de base légale documentée | Élevée | Élevé | 🔴 Critique |
| Cookies non conformes | Élevée | Moyen | 🟠 Prioritaire |
| Registre des traitements absent | Élevée | Moyen | 🟠 Prioritaire |
| Absence de DPA avec sous-traitants | Moyenne | Élevé | 🟠 Prioritaire |
| DPO non nommé (si obligatoire) | Faible | Moyen | 🟡 Modéré |
| Durées de conservation non respectées | Moyenne | Faible | 🟡 Modéré |
ShopFast est une boutique en ligne vendant des vêtements. Elle collecte des données à chaque étape du parcours client.
| Traitement | Données collectées | Base légale | Durée de conservation |
|---|---|---|---|
| Création de compte | Nom, prénom, email, mot de passe | Contrat | Durée du compte + 3 ans après inactivité |
| Commande | Adresse de livraison, téléphone | Contrat | 10 ans (obligations comptables) |
| Paiement | CB via Stripe/PayPal (sous-traitant) | Contrat | PAN masqué ; CVV jamais stocké |
| Newsletter | Email, préférences | Consentement | 3 ans après le dernier clic/ouverture |
| Cookies analytiques | Navigation, pages visitées | Consentement | 13 mois max (CNIL) |
| Cookies publicitaires | Profil comportemental | Consentement | 13 mois max (CNIL) |
| Service client | Historique des échanges | Intérêt légitime | 1 an après résolution |
| Détection de fraude | Adresse IP, historique | Intérêt légitime | 1 an |
| Situation | Droit applicable | Réponse attendue |
|---|---|---|
| Client veut savoir quelles données ShopFast détient sur lui | Droit d'accès (Art. 15) | Copie de toutes ses données sous 1 mois |
| Client veut changer son adresse email | Droit de rectification (Art. 16) | Mise à jour sous 1 mois |
| Client veut supprimer son compte | Droit à l'effacement (Art. 17) | Suppression sauf données comptables (10 ans) |
| Client veut récupérer son historique de commandes | Droit à la portabilité (Art. 20) | Export CSV/JSON sous 1 mois |
| Client ne veut plus recevoir la newsletter | Droit d'opposition (Art. 21) | Immédiat — lien de désabonnement obligatoire |
| Client conteste une décision automatique de refus | Art. 22 | Intervention humaine obligatoire |
FitTrack est une application de suivi d'activité physique demandant l'accès à la géolocalisation, au carnet d'adresses, à la caméra et aux données de santé.
| Mode de géolocalisation | Risque | Bonne pratique |
|---|---|---|
| En continu (background) | Très élevé — traçage permanent | À éviter sauf nécessité absolue justifiée |
| À l'utilisation seulement | Modéré | Préférable — demander au moment de l'utilisation |
| Géolocalisation approximative | Faible | À privilégier si la précision GPS n'est pas nécessaire |
| Données | Qualification | Base légale requise |
|---|---|---|
| Nombre de pas, distance | Données personnelles classiques | Consentement ou contrat |
| Fréquence cardiaque, VO2 max | Données de santé | Consentement explicite (Art. 9 §2a) |
| Cycles menstruels | Données de santé très sensibles | Consentement explicite — stockage local recommandé |
| IMC, poids | Données de santé | Consentement explicite |
| Point de contrôle | Statut | Action si non conforme |
|---|---|---|
| Consentement explicite pour les données de santé | À vérifier | Ajouter une case de consentement distincte |
| Géolocalisation "à l'utilisation" uniquement | À vérifier | Modifier les paramètres de demande d'autorisation |
| Carnet d'adresses non stocké côté serveur | À vérifier | Passer au matching local (hash) |
| Paramètres sociaux fermés par défaut (Privacy by Default) | À vérifier | Inverser le paramètre par défaut |
| DPA signé avec les SDK tiers (analytics, publicité) | À vérifier | Auditer tous les SDK intégrés |
| Information affichée avant chaque permission | À vérifier | Ajouter des écrans d'explication pre-permission |
Cabinet de groupe regroupant 5 médecins généralistes. Il gère les dossiers patients, la prise de RDV en ligne (Doctolib), les prescriptions et les rappels SMS.
| Traitement | Base légale | Particularité |
|---|---|---|
| Dossier médical | Intérêt vital + obligations légales | Conservation 20 ans après la dernière consultation |
| Rappels SMS | Intérêt légitime | Le message ne doit pas mentionner le motif médical |
| Prise de RDV Doctolib | Contrat | Doctolib est sous-traitant : DPA obligatoire |
| Facturation CPAM | Obligation légale | Données transmises à la Sécurité Sociale |
| Partage avec spécialistes | Intérêt vital du patient | Consentement recommandé hors urgence |
| Donnée | Type (ordinaire / sensible) | Moment de collecte | Nécessaire ? |
|---|---|---|---|
| Nom, prénom | Ordinaire | Inscription | ✅ Oui |
| Date de naissance | Ordinaire | Inscription | ✅ Oui (vérification âge) |
| Photo de pièce d'identité | Sensible (données personnelles renforcées) | Inscription | ⚠️ Discutable — mesures de sécurité renforcées requises |
| IBAN / Carte bancaire | Donnée financière sensible | Inscription | ✅ Oui (paiement) |
| Géolocalisation en continu | Ordinaire (mais révélatrice) | Utilisation | ❌ Non — localisation au départ/arrivée suffit |
| Itinéraire complet | Ordinaire | Utilisation | ⚠️ Discutable — nécessaire à la facturation, pas à la conservation indéfinie |
| Vitesse instantanée | Ordinaire | Utilisation | ⚠️ Discutable — utile pour la sécurité, justification requise |
| Comportement de conduite | Ordinaire (mais profilant) | Utilisation | ❌ Non pour partage assureurs sans information |
| Principe | Respecté ? | Violation identifiée | Recommandation |
|---|---|---|---|
| Licéité, loyauté, transparence | ❌ | Case unique mélange CGU + consentement marketing → consentement invalide | Séparer les consentements en cases distinctes |
| Limitation des finalités | ❌ | Données de conduite collectées pour "améliorer le service" mais partagées avec des assureurs → finalité incompatible | Informer explicitement de ce partage ou y renoncer |
| Minimisation des données | ❌ | Géolocalisation en continu (background) non proportionnée — localisation départ/arrivée suffit | Passer à une géolocalisation "à l'utilisation" |
| Exactitude | Non évaluable | Pas d'information sur des procédures de mise à jour | Permettre à l'utilisateur de corriger ses données |
| Limitation de la conservation | ❌ | Données de trajets conservées "indéfiniment" — aucune durée définie | Définir une durée (ex. 1 an) et mettre en place des purges |
| Intégrité et confidentialité | ❌ | Envoi accidentel à un prestataire non autorisé → violation non notifiée (double violation) | Notifier la CNIL immédiatement + renforcer les accès |
| Accountability | ❌ | Pas de DPO (obligatoire), pas de registre des traitements | Désigner un DPO + créer le registre dans le mois |
| # | Violation | Article RGPD | Niveau de sanction |
|---|---|---|---|
| 1 | Case de consentement groupée (CGU + marketing + partage partenaires) | Art. 7 | Niveau 2 jusqu'à 20 M€ |
| 2 | Partage des données de conduite avec les assureurs sans information | Art. 5 §1b (limitation finalités) + Art. 13 | Niveau 2 jusqu'à 20 M€ |
| 3 | Géolocalisation en continu (background) — non proportionnée | Art. 5 §1c (minimisation) | Niveau 2 jusqu'à 20 M€ |
| 4 | Données de trajets conservées indéfiniment | Art. 5 §1e (limitation conservation) | Niveau 2 jusqu'à 20 M€ |
| 5 | Violation de données non notifiée à la CNIL (12 000 clients) | Art. 33 | Niveau 1 jusqu'à 10 M€ |
| 6 | Absence de DPO + absence de registre des traitements | Art. 37 + Art. 30 | Niveau 1 jusqu'à 10 M€ |
| Situation | Droit applicable | Obligation de Roule&Go |
|---|---|---|
| Utilisateur veut savoir si Roule&Go a partagé ses données avec des assureurs | Droit d'accès (Art. 15) | Fournir la liste des destinataires sous 1 mois |
| Utilisateur veut supprimer son compte et toutes ses données | Droit à l'effacement (Art. 17) | Supprimer sauf données légalement obligatoires (comptabilité) |
| Utilisateur conteste la vitesse enregistrée (pénalité) | Droit de rectification (Art. 16) | Corriger si erreur prouvée ; intervention humaine si décision automatisée |
| Utilisateur veut récupérer 6 mois de trajets | Droit à la portabilité (Art. 20) | Export en CSV/JSON sous 1 mois (données fournies activement) |
| Utilisateur ne veut plus recevoir d'offres commerciales | Droit d'opposition (Art. 21) | Cessation immédiate et absolue |
| Utilisateur veut savoir pourquoi son compte a été suspendu automatiquement | Art. 22 (décisions automatisées) | Expliquer la logique + permettre une intervention humaine |
| Action | Responsable | Délai |
|---|---|---|
| Notifier la CNIL pour la violation des 12 000 clients | Direction + futur DPO | Immédiat (72h dépassées — notifier avec justification du retard) |
| Notifier les 12 000 personnes concernées si le risque est élevé | Direction | Dans les meilleurs délais (Art. 34) |
| Suspendre le partage des données de conduite avec les assureurs | Direction juridique | Immédiat |
| Action | Responsable | Délai |
|---|---|---|
| Désigner un DPO (obligatoire — suivi à grande échelle de 150 000 utilisateurs) | Direction | 1 mois |
| Créer le registre des activités de traitement (Art. 30) | DPO | 2 mois |
| Refondre la case de consentement en consentements séparés et granulaires | Tech + DPO | 2 mois |
| Définir des durées de conservation et mettre en place des purges automatiques | DPO + Tech | 3 mois |
| Passer la géolocalisation en mode "à l'utilisation" uniquement | Tech | 2 mois |
| Action | Responsable | Délai |
|---|---|---|
| Réaliser une AIPD (géolocalisation + comportement de conduite) | DPO | 6 mois |
| Former les équipes au RGPD et à la gestion des incidents | DPO + RH | 6 mois |
| Auditer les SDK et outils tiers — signer des DPA avec chacun | DPO + Tech | 9 mois |
| Mettre en place un canal officiel pour les demandes d'exercice de droits | DPO | 3 mois |
Répondre à : Quoi ? Pourquoi ? Qui ? Où ? Combien de temps ? Outils : tableur, logiciel dédié (OneTrust, Didomi, Privacyboard...), entretiens avec les métiers.
Pour chaque traitement : quelle base légale est utilisée ? Est-elle documentée ? Si consentement : existe-t-il une preuve ? Si intérêt légitime : un test d'équilibre a-t-il été réalisé ?
Les données sont-elles chiffrées ? Les accès respectent-ils le principe du moindre privilège ? Les sous-traitants ont-ils signé un DPA ? Une procédure d'incidents existe-t-elle ?
Existe-t-il un canal officiel pour exercer ses droits (email dédié, formulaire) ? Le délai d'1 mois est-il respecté ? Les demandes sont-elles tracées ?
Score de conformité par domaine. Risques identifiés et priorisés. Plan d'action avec responsables et délais. Calendrier de revue annuel recommandé.
1. Roule&Go partage des données de comportement de conduite avec des assureurs sans en informer les utilisateurs. Quel principe du RGPD est violé en priorité ?
2. La géolocalisation en continu (background) d'une app de trottinettes viole quel principe ?
3. La fréquence cardiaque enregistrée par FitTrack est une donnée de santé (Art. 9). Quelle base légale s'applique ?
4. Roule&Go n'a pas notifié la CNIL pour la fuite des 12 000 clients. En plus de la violation de données, quelle autre infraction commet-elle ?
5. Dans un audit RGPD, quelle est la première étape à réaliser ?
| Thème | Points clés |
|---|---|
| Risques financiers | Amendes, frais juridiques, remédiation, actions civiles (Art. 82) |
| Risques réputationnels | Name and shame, perte de clients, atteinte à la marque |
| Risques opérationnels | Interruption de service, injonctions de cesser, forensique |
| E-commerce | Consentement newsletter distinct, cookies conformes, DPA paiement |
| App mobile | Géolocalisation proportionnée, consentement granulaire, Art. 9 |
| Secteur médical | Secret médical + RGPD, HDS, 20 ans de conservation |
| Méthode d'audit | Data mapping → bases légales → sécurité → droits → plan d'action |
| Principe clé | Privacy by Design + Privacy by Default dès la conception |