Projet Final — Mise en Pratique Intégrale RGPD
Vous êtes mandatés comme consultants RGPD par une startup en pleine croissance. Votre mission : réaliser un audit complet, identifier les violations, et livrer un plan de conformité documenté et présenté oralement.
MediConnect est une plateforme de télémédecine et de coordination de soins. Elle permet aux patients de :
Les médecins partenaires peuvent accéder aux dossiers patients, rédiger des ordonnances numériques, et utiliser un tableau de bord pour suivre leurs patients chroniques.
| Données | Moment de collecte | Stockage |
|---|---|---|
| Nom, prénom, date de naissance, adresse, email, téléphone | Inscription | Serveurs MediConnect (hébergés sur AWS us-east-1 — États-Unis) |
| Numéro de Sécurité Sociale | Inscription (facultatif… mais demandé systématiquement) | Serveurs MediConnect |
| Antécédents médicaux, allergies, traitements en cours | Onboarding (formulaire) | Serveurs MediConnect |
| Comptes-rendus de consultations vidéo (texte + enregistrement audio) | Chaque consultation | Serveurs MediConnect — durée : "le temps nécessaire" |
| Ordonnances numériques | Chaque consultation | Serveurs MediConnect + copie chez le pharmacien partenaire |
| Constantes de santé (objets connectés) | Continue (synchronisation automatique toutes les 15 min) | Serveurs MediConnect + copie chez le fabricant de l'objet connecté |
| Historique de navigation dans l'app (pages vues, temps passé) | Continue | Google Analytics (pas de DPA signé à ce jour) |
| Données de géolocalisation (pour "trouver un médecin proche") | Utilisation de la fonction de recherche | Serveurs MediConnect + partagé avec Google Maps API |
| Photo du visage (pour l'identification lors des vidéoconsultations) | Connexion à chaque consultation | Traitée par un SDK tiers (Face++ — entreprise chinoise) |
| Sous-traitant | Pays | Service | DPA signé ? |
|---|---|---|---|
| AWS | 🇺🇸 États-Unis (us-east-1) | Hébergement de toutes les données | ❌ Non vérifié |
| Twilio | 🇺🇸 États-Unis | SMS de rappel des RDV | ❌ Non |
| Face++ (Megvii) | 🇨🇳 Chine | Reconnaissance faciale | ❌ Non |
| Google Analytics | 🇺🇸 États-Unis | Analytics de l'application | ❌ Non |
| Stripe | 🇺🇸 États-Unis | Paiement des abonnements | ✅ Oui |
| Pharma Corp Inc. | 🇺🇸 États-Unis | Recherche pharmaceutique (données patients) | ❌ Non |
Chaque groupe remet un dossier PDF ou Word avant le début des soutenances (13h30 Jour 2), et présente un support de présentation (10 slides max).
Tableau complet listant tous les traitements de MediConnect avec : nom, finalité, base légale, catégories de données, destinataires, durée de conservation suggérée, mesures de sécurité recommandées.
Liste structurée des violations du RGPD avec : article violé, description précise, niveau de sanction (N1/N2), calcul de l'amende maximale théorique, et gravité de l'impact pour les patients.
Note juridique sur les transferts vers AWS (États-Unis), Face++ (Chine) et Pharma Corp Inc. (États-Unis) : mécanismes légaux applicables, risques, recommandations concrètes.
Plan structuré en 3 horizons (urgences / 3 mois / 6-12 mois), avec pour chaque action : responsable suggéré, coût estimé, impact sur le risque résiduel.
20 min de présentation + 10 min de questions. Évaluation de la maîtrise du sujet, de la clarté de l'exposé et de la capacité à défendre les choix devant un jury.
| Entreprise | MediConnect — plateforme de télémédecine, 320 000 patients, 8 problèmes RGPD majeurs |
| Durée | 2 jours · Groupes de 2 étudiants |
| Livrables | Registre (20 pts) + Audit (25 pts) + Transferts hors UE (15 pts) + Plan d'action (20 pts) + Soutenance (20 pts) |
| Thèmes couverts | Art. 9 (santé), HDS, transferts hors UE (Chine + USA), AIPD, IA et Art. 22, violation non notifiée, consentement invalide |
| Objectif pédagogique | Démontrer la capacité à auditer une organisation réelle, qualifier des violations RGPD et proposer un plan d'action professionnel |