Bloc 1: Support et mise à

disposition de services
informatiques

RGPD

Compétences abordées :
B1.1 Gérer le patrimoine informatique.

B1.3 Développer la présence en ligne de l'organisation.

B1.6 Organiser son développement professionnel.

B3.1 Protéger les données à caractère personnel.

B3.2 Préserver l'identité numérique de l'organisation.
Le RGPD, cette angoisse
Ce qui suit vient du site de la CNIL et de [Link]

Mes quelques rares commentaires sont en vert.

Qu'est-ce qu'une donnée personnelle ?

Il s'agit de toutes informations se rapportant à une personne physique identifiée ou identifiable,
directement ou non, grâce à un ou plusieurs éléments permettant de le rattacher personnellement à
une donnée.

C'est le cas par exemple d'un nom, d'un prénom, d'un numéro de téléphone, d'une adresse
électronique, d'un numéro de carte d'identité et/ou de sécurité sociale, d'une adresse IP, d'une
photo, d'un profil sur un réseau social.

Les règles de protection des données personnelles s'appliquent en cas de collecte, d'utilisation et de
conservation quel que soit le support adopté (papier, numérique,...).

Les données personnelles doivent répondre aux conditions suivantes :

 Traitées de manière licite, loyale et transparente

 Collectées pour une ou plusieurs finalités précises (une connaissance client, traitement plus
efficace)
 Adéquates, pertinentes et limitées aux finalités du traitement
 Exactes et tenues à jour
 Conservées de façon temporaire (elles doivent être supprimées au bout d'un certain temps
ou anonymisées pour un traitement statistique) et sécurisée (mesures de protection prises
pour l'accès à ces données, habilitation...).

Qu'est-ce que le traitement des données personnelles ?

Le traitement de données personnelles consiste en toute opération portant sur des données
personnelles, quel que soit le procédé utilisé (enregistrer, organiser, conserver, modifier, rapprocher
avec d'autres données, transmettre, etc... ces données).

Un traitement de données à caractère personnel peut être informatisé ou non. Un fichier papier
organisé selon un plan de classement, des formulaires papiers nominatifs ou des dossiers de
candidatures classés par ordre alphabétique ou chronologique sont aussi des traitements de données
personnelles.

Pour mettre en œuvre le traitement, le professionnel doit recueillir le consentement de la personne

dont les données sont collectées, sauf quand le traitement est nécessaire à l’exécution ou à la
préparation d’un contrat avec la personne, ou quand le traitement est imposé par un texte de loi.

À qui s'applique la réglementation protégeant les

données personnelles ?
En gros, toute entreprise ou organisme qui fait du business en Union Européenne est soumise au
RGPD, au moins pour les données concernant des citoyens européens.

En pratique, le règlement de protection des données s'applique donc à chaque fois qu'un résident
européen, quelle que soit sa nationalité, est directement visé par une collecte ou un traitement de
données. Y compris par internet ou par le biais d'objets connectés (appareils domotiques, objets
mesurant l'activité physique par exemple).

Quelles sont les obligations des entreprises en cas de

collecte ?
Obligation générale de sécurité et de confidentialité
Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des locaux
et des systèmes d'information pour empêcher que les fichiers soient déformés, endommagés ou que
des tiers non autorisés y aient accès.

Le responsable doit prendre toutes les mesures nécessaires au respect de la protection des données
personnelles dès la conception du produit ou du service.

Le responsable est obligé de limiter la quantité de données traitées dès le départ au regard de la
finalité du traitement (principe dit de minimisation) et doit pouvoir démontrer cette conformité à
tout moment.

L'accès aux données doit-être réservé uniquement aux personnes désignées ou à des tiers qui
détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple).

Le responsable des données doit fixer une durée raisonnable de conservation des informations
personnelles.

Obligation d'information
L'entreprise qui détient des données personnelles doit informer la personne concernée des
informations suivantes :

 Identité du responsable du fichier

 Finalité du traitement des données
 Caractère obligatoire ou facultatif des réponses
 Droits d'accès, de rectification, d'interrogation et d'opposition
 Transmissions des données
 Utilisation des données de navigation (cookies)

La personne qui traite les données personnelles (un commerçant en ligne par exemple) doit
respecter les obligations suivantes :

 Recueillir l'accord préalable des clients

 Informer les clients de leurs droits d'accès, de rectification, d'opposition et de suppression
des informations collectées
 Veiller à la sécurité des systèmes d'information
 Assurer la confidentialité des données
 Indiquer une durée de conservation des données

L'âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles
(majorité numérique) pour utiliser un service sur internet (les réseaux sociaux par exemple), est fixée
à 15 ans. L'autorisation du représentant légal est nécessaire avant cet âge. L'information sur le
traitement de données du mineur doit être rédigée en termes clairs et simples.

Et amusez-vous bien avec ça…

Réalisation d'analyse d'impact
Dès lors que le traitement des données présente un risque pour les droits et libertés des personnes,
le responsable du traitement doit mener une analyse d'impact sur la vie privée (PIA).

Cette analyse d'impact vise à évaluer l'origine, la nature, la particularité et la gravité de ce risque sur
les droits et les libertés des personnes.

Si l'étude d'impact met en évidence un risque élevé (par exemple : utilisation de données bancaires
ou usurpation d'identité) pour les personnes malgré les mesures mises en place pour en diminuer
l'impact, la CNIL doit être informée.

L'évaluation dans le cadre de l'analyse d'impact doit porter sur les éléments suivants :

 Collecte d'Informations sensibles (origine, opinions politiques, religieuses, syndicales,

habitudes sexuelles, santé), biométriques ou génétiques notamment
 Existence d'une évaluation des personnes (profilage par exemple)
 Réalisation de fichiers ayant une finalité particulière (études statistiques de l'Insee,
traitements de recherche médicale par exemple)
 Transferts de données hors de l'Union européenne. Les données transférées restent
soumises au droit de l'UE non seulement pour leur transfert, mais aussi pour tout
traitement / transfert ultérieur.

Je ne sais pas quel traitement pourrait ne présenter aucun risque pour les droits ou les libertés des
gens. Autant des libertés, ça doit être assez rare, autant les droits, dans la mesure où tout traitement
risque d’enfreindre un des droits qui me sont octroyés par le RGPD…

Désignation d'un délégué à la protection des données (DPO)

L'entreprise qui réalise des traitements de données et les sous-traitants doivent désigner un délégué
à la protection des données (DPO) dans les cas suivants :

 Leur activité fait partie du secteur public

 Leur activité principale amène un suivi régulier et systématique de personnes à grande
échelle
 Leur activité principale amène le traitement à grande échelle de données sensibles ou
relatives à des condamnations pénales et infractions

A grande échelle, je ne sais pas ce que ça veut dire. Ceci dit, quoi qu’il arrive, la CNIL vous encourage
à avoir un DPO même si ce n’est pas obligatoire.

Le DPO est chargé des missions suivantes :

 Informer et de conseiller le responsable de traitement (ou le sous-traitant) et ses employés

 Contrôler le respect du règlement européen et du droit français en matière de protection des
données
 Conseiller l'organisme sur la réalisation d'une analyse d'impact et en vérifier l'exécution
 Coopérer avec l'autorité de contrôle et être son contact.

Le DPO peut être une personne issue du domaine technique, juridique ou autre. Autrement dit un
peu n’importe qui…

Tenue d'un registre des traitements des données

Les entreprises de moins de 250 salariés doivent mettre dans leurs registre les traitements non
occasionnels, ceux qui peuvent comporter un risque pour les droits et libertés des personnes (du
coup un peu tous ?), et les traitements qui portent sur des données sensibles (origine, opinions
politiques, religieuses, syndicales, habitudes sexuelles, santé, biométriques ou génétiques
notamment).

Les entreprises de plus de 250 salariés doivent mettre tous les traitements dans le registre.

A qui communiquer le registre ?

Par nature, le registre est un document interne et évolutif, qui doit avant tout aider l’organisme à
piloter sa conformité.

Le registre doit toutefois pouvoir être communiqué à la CNIL lorsqu’elle le demande. Elle pourra en
particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

Les organismes du secteur public sont tenus de communiquer le registre à toute personne qui en fait
la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des
relations entre le public et l’administration. Toutefois, le registre communiqué doit être occulté de
toute information dont la divulgation pourrait en particulier porter atteinte aux secrets protégés par
la loi, et notamment à la sécurité des systèmes d’information.

Les organismes privés (non chargés d’une mission de service public) ne sont pas tenus de
communiquer le registre au public. Néanmoins, ils peuvent, s’ils l’estiment opportun, le
communiquer aux personnes qui en font la demande.

Du coup bon… J’ai l’impression, on peut en improviser un vitef le jour où la CNIL demande, et du
coup osef

Quels sont les droits des personnes dont les données

sont collectées ?
Les personnes dont les données sont collectées bénéficient de plusieurs droits qu’elles peuvent les
exercer auprès du responsable de traitement dont le nom et l'adresse de ce dernier doivent figurer
sur les sites visités et dans les contrats conclus.

Droit d'accès
Les personnes dont les informations sont collectées et traitées peuvent demander l'accès aux
données les concernant à tout moment et sans limitation et gratuitement.

Droit de rectification et d'opposition

Les personnes dont les données sont collectées et traitées peuvent demander la rectification des
données conservées.

Ils peuvent également s'opposer à leur utilisation.

Droit à la portabilité
Toute personne peut récupérer, sous une forme réutilisable, les données qu'elle a fournies, et les
transférer ensuite à un tiers (réseau social par exemple).

Droit à l'oubli
Le droit à l’oubli permet d’assurer à la personne que les données la concernant ne soient pas
conservées au-delà de la durée prédéfinie justifiée par la finalité du fichier.
Droit à l’effacement
Le droit à l’effacement permet une suppression des données sans frais pour la personne concernée
(sous réserve d’exception comme une conservation justifiée pour des raisons historiques, statistiques
ou scientifiques).

Droit au déréférencement
Toute personne peut demander à ce que ses données ne soient plus indexées par un moteur de
recherche.

Droit à notification
En cas de violation de la sécurité des données comportant un risque élevé pour les personnes, le
responsable du traitement doit les avertir rapidement, sauf dans certaines situations (données déjà
chiffrées par exemple).

Il doit également le notifier à la Cnil dans les 72 heures.

Droit à réparation du dommage matériel ou moral

Toute personne qui a subi un dommage matériel ou moral du fait de la violation du règlement
européen peut obtenir du responsable du traitement (ou du sous-traitant) la réparation de son
préjudice.

Je comprends pas pourquoi il y a besoin de le préciser, ni ce que c’est qu’un dommage matériel ou
moral. Est-ce que le fait de savoir que le monde entier fait des trucs bizarres avec mes données ne
peut pas compter ?

Action de groupe
Toute personne peut mandater une association ou un organisme actif dans le domaine de la
protection des données pour faire une réclamation ou un recours et obtenir réparation en cas de
violation de ses données.

Quelles sont les sanctions auxquelles s'exposent les

entreprises ?
En cas de violation du règlement, la Cnil peut prononcer des amendes administratives qui peuvent
atteindre, selon la catégorie du manquement, 2 % à 4 % du chiffre d'affaires annuel mondial de
l'exercice précédent.

C'est la Cnil qui adresse un courrier au responsable de traitement lui indiquant la sanction.

Des sanctions pénales peuvent également s'ajouter à ces sanctions administratives. C'est le cas des
infractions liées à la discrimination, des infractions de mise en danger en cas de mesures de
protection insuffisantes (exemple : révélation de l'adresse d'une personne).

Enfin, les victimes peuvent demander des dommages et intérêts devant les juridictions civiles ou
pénales.

Une fois qu’on a dit ça, la CNIL de son propre aveu :

En 2023, l’activité répressive de la CNIL se caractérise par un accroissement du nombre de mesures

adoptées. Elle a ainsi a prononcé 42 sanctions, pour un montant de près de 90 millions d’euros. 168
mises en demeure et 33 rappels aux obligations légales ont également été notifiés.

Donc bon…
Les données non personnelles
Tout cela est assez contraignant comme vous pouvez le constater. En revanche, en ce qui concerne
les données anonymes, vous faites bien ce que vous voulez. Certaines données sont
fondamentalement anonymes. Par exemple, le nombre d’unités produites par une chaine
d’assemblage, le taux d’utilisation d’une machine, ou l’hygrométrie mesurée heure par heure dans la
ville de Nantes.

Attention cependant, même dans ce genre de situation, il faut faire attention à ce que ces données
ne puissent pas être utilisées pour fliquer les employés. Par exemple, si j’ai le nombre d’unités
produites heures par heures, et que je croise ça avec le planning du personnel, on retombe dans les
problèmes.

Attention aussi aux données personnelles cachées. Les données concernant des personnes morales
comme des entreprises ne sont pas considérées comme des données personnelles jusqu’à ce qu’on y
trouve des renseignements sur le chef d’entreprise par exemple.

On pourrait être tenté d’anonymiser les données pour qu’elles ne soient plus personnelles. Cette
opération doit être irréversible pour que ça soit effectivement un moyen d’échapper au RGPD, et
c’est la plupart du temps impossible à garantir. En revanche, ça minimise quand même les risques.

Un moyen de conserver des informations est d’agréger les données. Par exemple, si au lieu de
stocker une liste de factures, je ne garde qu’un tableau d’effectif des montants de factures, alors je
suis bien. En revanche, on a perdu pas mal d’informations, et si on avait besoin d’autre chose, on ne
pourra pas revenir en arrière.