Droit du Numérique & Protection des Données

Projet Final — Mise en Pratique Intégrale RGPD

Classe B3 ASO 2025-2026 · Durée : 2 jours · 100 points
CODE : RGPD-PROJ · Travail en groupe de 2 étudiants

Audit RGPD & Plan de Conformité — Cas MediConnect

Vous êtes mandatés comme consultants RGPD par une startup en pleine croissance. Votre mission : réaliser un audit complet, identifier les violations, et livrer un plan de conformité documenté et présenté oralement.

📅 Jour 1 : Analyse & Audit (6h)
📋 Jour 2 : Livrables & Soutenance (6h)
🏆 100 points · Note /20

Le Contexte : MediConnect

MediConnect
"La santé connectée, simple et rapide."
📍 Lyon, France 👥 85 salariés 📱 Application mobile + Web 🏥 320 000 patients inscrits 👨‍⚕️ 1 400 médecins partenaires 📅 Fondée en 2021 💰 CA 2024 : 4,2 M€

Description de l'activité

MediConnect est une plateforme de télémédecine et de coordination de soins. Elle permet aux patients de :

Les médecins partenaires peuvent accéder aux dossiers patients, rédiger des ordonnances numériques, et utiliser un tableau de bord pour suivre leurs patients chroniques.

L'historique récent (éléments déclencheurs)

Situation de crise : MediConnect vient de lever 8 M€ auprès d'investisseurs américains. Dans le cadre de la due diligence, les investisseurs ont demandé un rapport de conformité RGPD. La DG a découvert que la startup n'a jamais formalisé sa conformité. De plus, un article de blog a révélé la semaine dernière que MediConnect transmet des données anonymisées de patients à un laboratoire pharmaceutique américain (Pharma Corp Inc., New Jersey) pour de la recherche — sans que les patients en aient été informés.

Ce que vous savez sur MediConnect

DonnéesMoment de collecteStockage
Nom, prénom, date de naissance, adresse, email, téléphoneInscriptionServeurs MediConnect (hébergés sur AWS us-east-1 — États-Unis)
Numéro de Sécurité SocialeInscription (facultatif… mais demandé systématiquement)Serveurs MediConnect
Antécédents médicaux, allergies, traitements en coursOnboarding (formulaire)Serveurs MediConnect
Comptes-rendus de consultations vidéo (texte + enregistrement audio)Chaque consultationServeurs MediConnect — durée : "le temps nécessaire"
Ordonnances numériquesChaque consultationServeurs MediConnect + copie chez le pharmacien partenaire
Constantes de santé (objets connectés)Continue (synchronisation automatique toutes les 15 min)Serveurs MediConnect + copie chez le fabricant de l'objet connecté
Historique de navigation dans l'app (pages vues, temps passé)ContinueGoogle Analytics (pas de DPA signé à ce jour)
Données de géolocalisation (pour "trouver un médecin proche")Utilisation de la fonction de rechercheServeurs MediConnect + partagé avec Google Maps API
Photo du visage (pour l'identification lors des vidéoconsultations)Connexion à chaque consultationTraitée par un SDK tiers (Face++ — entreprise chinoise)
  1. À l'inscription : une seule case à cocher — "J'accepte les CGU et la politique de confidentialité de MediConnect, ainsi que le partage de mes données avec nos partenaires de santé et de recherche."
  2. L'assistant IA analyse les symptômes décrits par les patients et produit un score de risque médical affiché directement à l'utilisateur, sans intervention d'un médecin.
  3. MediConnect envoie des emails de relance marketing aux patients qui n'ont pas pris de RDV depuis 3 mois — sans mécanisme de désabonnement visible.
  4. Les données "anonymisées" transmises à Pharma Corp Inc. (New Jersey) incluent : âge, sexe, ville, pathologies, traitements. Aucun accord de transfert hors UE n'a été signé.
  5. Les enregistrements audio des consultations sont conservés sans limite de durée. MediConnect les utilise pour "améliorer l'IA".
  6. Le CTO a accès en lecture à l'ensemble des dossiers patients pour résoudre les bugs techniques.
  7. Il n'existe ni DPO, ni registre des traitements, ni AIPD pour l'assistant IA ou la reconnaissance faciale.
  8. Suite à une erreur de configuration, des données de 2 300 patients ont été accessibles publiquement via une URL non protégée pendant 48h. L'incident n'a pas été notifié à la CNIL (découvert il y a 3 semaines).
Sous-traitantPaysServiceDPA signé ?
AWS🇺🇸 États-Unis (us-east-1)Hébergement de toutes les données❌ Non vérifié
Twilio🇺🇸 États-UnisSMS de rappel des RDV❌ Non
Face++ (Megvii)🇨🇳 ChineReconnaissance faciale❌ Non
Google Analytics🇺🇸 États-UnisAnalytics de l'application❌ Non
Stripe🇺🇸 États-UnisPaiement des abonnements✅ Oui
Pharma Corp Inc.🇺🇸 États-UnisRecherche pharmaceutique (données patients)❌ Non
💡 Important : MediConnect traite des données de santé (Art. 9), ce qui déclenche des obligations renforcées. L'hébergement de données de santé en France nécessite un prestataire certifié HDS. AWS us-east-1 (États-Unis) n'est pas certifié HDS.

Livrables Attendus

Chaque groupe remet un dossier PDF ou Word avant le début des soutenances (13h30 Jour 2), et présente un support de présentation (10 slides max).

1
Registre des activités de traitement

Tableau complet listant tous les traitements de MediConnect avec : nom, finalité, base légale, catégories de données, destinataires, durée de conservation suggérée, mesures de sécurité recommandées.

20 pts
2
Rapport d'audit — Violations identifiées

Liste structurée des violations du RGPD avec : article violé, description précise, niveau de sanction (N1/N2), calcul de l'amende maximale théorique, et gravité de l'impact pour les patients.

25 pts
3
Analyse de la problématique des transferts hors UE

Note juridique sur les transferts vers AWS (États-Unis), Face++ (Chine) et Pharma Corp Inc. (États-Unis) : mécanismes légaux applicables, risques, recommandations concrètes.

15 pts
4
Plan d'action de mise en conformité priorisé

Plan structuré en 3 horizons (urgences / 3 mois / 6-12 mois), avec pour chaque action : responsable suggéré, coût estimé, impact sur le risque résiduel.

20 pts
5
Présentation orale + réponses aux questions

20 min de présentation + 10 min de questions. Évaluation de la maîtrise du sujet, de la clarté de l'exposé et de la capacité à défendre les choix devant un jury.

20 pts
💡 Conseils de structure pour le rapport :
  1. Résumé exécutif (1 page) — synthèse des risques pour la direction de MediConnect
  2. Cartographie des données et registre des traitements
  3. Audit des violations et exposition financière
  4. Analyse des transferts hors UE
  5. Plan d'action priorisé avec tableau de bord
  6. Annexes (textes de loi, jurisprudence, références)

Grille de Notation Détaillée — 100 points

Livrable 1 — Registre des traitements (20 pts)

Critère d'évaluation Points
A. Exhaustivité du registre
Tous les traitements identifiés (≥ 9 sur 10)
4 pts
4 pts = 9-10 traitements · 3 pts = 7-8 · 2 pts = 5-6 · 0 pt = moins de 5
/4
Qualification correcte (ordinaire / Art. 9 / sensible)
3 pts
3 pts = toutes correctes · 2 pts = 1-2 erreurs · 1 pt = 3+ erreurs · Erreur rédhibitoire : qualifier les données de santé d'ordinaires
/3
B. Qualité de l'analyse
Bases légales correctement identifiées et justifiées
5 pts
5 pts = toutes correctes avec justification · 3 pts = majeures correctes · 1 pt = tentative sans justification · 0 = bases légales incorrectes
/5
Durées de conservation proposées et justifiées
4 pts
4 pts = toutes justifiées + durées légales respectées (20 ans dossier médical, etc.) · 2 pts = partiellement · 0 = absent
/4
Mesures de sécurité recommandées par traitement
4 pts
4 pts = recommandations concrètes et proportionnées · 2 pts = génériques · 0 = absent
/4

Livrable 2 — Rapport d'audit (25 pts)

Critère d'évaluation Points
A. Identification des violations (violations attendues : ≥ 10)
Violations majeures identifiées (violation notification CNIL, transferts illicites hors UE, pas de DPO, pas d'AIPD, consentement invalide...)
8 pts
1 pt par violation majeure correctement identifiée (article + description). Maximum 8 pts.
/8
Violations secondaires (emails sans désabonnement, accès CTO sans nécessité, données conservées indéfiniment...)
4 pts
0,5 pt par violation secondaire correctement identifiée. Maximum 4 pts.
/4
B. Qualification juridique
Niveau de sanction (N1/N2) correctement attribué à chaque violation
5 pts
5 pts = toutes correctes · 3 pts = majorité correcte · 1 pt = quelques erreurs · 0 = confusions systématiques N1/N2
/5
Calcul de l'exposition financière maximale (4% de 4,2M€ = 168 000€ OU 20 M€ → montant max retenu)
3 pts
3 pts = calcul correct avec explication · 2 pts = logique correcte, erreur de calcul · 0 = absent ou incorrect
/3
C. Analyse spécifique des risques IA et reconnaissance faciale
Identification des risques spécifiques à l'IA (score médical sans médecin = Art. 22) et à la reconnaissance faciale (données biométriques = Art. 9, AIPD obligatoire)
5 pts
5 pts = les deux correctement traités avec articles · 3 pts = un seul traité · 1 pt = mentionnés sans analyse · 0 = absents
/5

Livrable 3 — Transferts hors UE (15 pts)

Critère d'évaluation Points
Identification de tous les transferts hors UE (AWS USA, Twilio USA, Face++ Chine, Pharma Corp USA, Google Analytics USA)
3 pts
3 pts = tous identifiés · 2 pts = 4 sur 5 · 1 pt = 2-3 · 0 = moins de 2
/3
Mécanisme légal applicable proposé pour chaque transfert (Data Privacy Framework, CCT, BCR, ou constat d'impossibilité)
5 pts
5 pts = mécanisme correct et justifié pour chaque cas (note : Face++ Chine — pas de décision d'adéquation, CCT + analyse cas par cas → très complexe) · 3 pts = majorité correcte · 1 pt = tentative
/5
Analyse spécifique de l'obligation HDS pour l'hébergement des données de santé
4 pts
4 pts = problème AWS us-east-1 identifié + obligation HDS expliquée + solution proposée (migration AWS eu-west, OVH, Scaleway certifiés HDS) · 2 pts = problème identifié sans solution · 0 = absent
/4
Recommandation argumentée sur la transmission des données à Pharma Corp (données "anonymisées" mais ré-identifiables)
3 pts
3 pts = problème pseudo-anonymisation soulevé + absence de base légale pour la recherche sans consentement explicite + recommandation de suspension + alternatives proposées
/3

Livrable 4 — Plan d'action (20 pts)

Critère d'évaluation Points
A. Actions urgentes (immédiat)
Notification CNIL planifiée (violation des 2 300 patients — 3 semaines sans notification)
3 pts
3 pts = notification + justification du retard + notification aux 2 300 patients si risque élevé · 2 pts = notification mentionnée · 0 = absent
/3
Suspension des traitements les plus risqués (transfert Pharma Corp, Face++ Chine)
3 pts
3 pts = suspension + justification + alternatives · 1 pt = mentionné · 0 = absent
/3
B. Actions à 3 mois
Désignation d'un DPO + création du registre + refonte du consentement
4 pts
4 pts = les trois avec planning réaliste · 2 pts = deux sur trois · 0 = absent
/4
C. Actions à 6–12 mois
AIPD pour l'IA et la reconnaissance faciale
3 pts
3 pts = AIPD planifiée + contenu attendu décrit + mention de la consultation préalable CNIL si risque résiduel · 1 pt = mentionnée · 0 = absent
/3
Migration vers un hébergeur certifié HDS
3 pts
3 pts = solution identifiée (ex. AWS eu-west HDS, OVHcloud HDS, Scaleway HDS) + plan de migration réaliste · 1 pt = mentionnée · 0 = absent
/3
D. Qualité globale du plan
Priorisation cohérente, responsables identifiés, réalisme des délais, impact sur le risque résiduel évalué
4 pts
4 pts = plan professionnel, actionnable, réaliste · 2 pts = plan partiel · 0 = liste d'actions sans priorisation
/4

Livrable 5 — Soutenance orale (20 pts)

Critère d'évaluation Points
Structure et clarté de la présentation
Introduction, fil conducteur, conclusion avec recommandations claires
4 pts
4 = structure claire, accroche, conclusion percutante · 2 = structure basique · 0 = désorganisé
/4
Maîtrise du contenu juridique
Utilisation correcte des articles RGPD, pas d'erreur majeure
6 pts
6 = maîtrise parfaite + articles cités + aucune erreur · 4 = bonne maîtrise, quelques approximations · 2 = compréhension basique · 0 = erreurs graves
/6
Réponses aux questions
Capacité à défendre les choix, à reconnaître les limites, à rebondir
5 pts
5 = réponses précises et nuancées · 3 = répond mais parfois vague · 1 = difficultés à répondre · 0 = ne répond pas aux questions
/5
Participation équilibrée du groupe
Tous les membres ont présenté une partie, pas de membre passif
3 pts
3 = participation équilibrée · 1 = 1 membre passif · 0 = présentation portée par 1 seule personne
/3
Support visuel (slides)
Lisible, pertinent, pas trop chargé, illustre l'oral sans le remplacer
2 pts
2 = support professionnel · 1 = correct · 0 = absent ou illisible
/2

Barème de conversion points → note /20

🏆 85–100 pts
17–20 / 20
Excellent
👍 70–84 pts
14–16 / 20
Bien
📖 55–69 pts
11–13 / 20
Satisfaisant
⚠️ 40–54 pts
8–10 / 20
Passable
❌ < 40 pts
0–7 / 20
Insuffisant
Points de bonus possibles (+5 pts max, non plafonnés) :
  • +2 pts — Proposition d'une architecture Privacy by Design pour l'assistant IA
  • +2 pts — Rédaction d'un projet de politique de confidentialité conforme pour MediConnect
  • +1 pt — Identification du risque spécifique lié aux données de santé post-Roe v. Wade (jurisprudence américaine) dans le contexte du transfert vers Pharma Corp
⚠️ Points de vigilance pour l'évaluation :
  • Toute affirmation juridique doit être sourcée (article RGPD, décision CNIL, jurisprudence)
  • Les recommandations doivent être réalistes et applicables — "supprimer toutes les données" n'est pas une recommandation acceptable
  • L'absence de mention de l'obligation HDS dans la section transferts hors UE = -2 pts automatiques
  • Tout groupe n'ayant pas identifié la violation de notification CNIL (2 300 patients) = -3 pts automatiques sur le livrable 2

Ressources Autorisées & Conseils

✅ Ressources autorisées
  • Les 3 modules de cours RGPD (supports papier ou numérique)
  • Le site officiel de la CNIL : cnil.fr
  • Le texte officiel du RGPD : eur-lex.europa.eu
  • Les référentiels sectoriels CNIL (santé, télémédecine)
  • Internet pour la recherche (jurisprudence, sanctions récentes)
  • Outils de présentation au choix (PowerPoint, Canva, Google Slides)
❌ Ce qui sera pénalisé
  • Recommandations vagues ou sans base juridique
  • Confusions entre Responsable de traitement et Sous-traitant
  • Oublier que les données de santé relèvent de l'Art. 9 (catégorie spéciale)
  • Ne pas mentionner l'obligation HDS pour l'hébergement de données médicales
  • Négliger la question des transferts hors UE vers la Chine (Face++)
  • Présentation déséquilibrée (un seul membre parle)

Récapitulatif du Projet

EntrepriseMediConnect — plateforme de télémédecine, 320 000 patients, 8 problèmes RGPD majeurs
Durée2 jours · Groupes de 2 étudiants
LivrablesRegistre (20 pts) + Audit (25 pts) + Transferts hors UE (15 pts) + Plan d'action (20 pts) + Soutenance (20 pts)
Thèmes couvertsArt. 9 (santé), HDS, transferts hors UE (Chine + USA), AIPD, IA et Art. 22, violation non notifiée, consentement invalide
Objectif pédagogiqueDémontrer la capacité à auditer une organisation réelle, qualifier des violations RGPD et proposer un plan d'action professionnel