03 CDPO FR ExS V6.1 20210629

EXERCICES
FORMATION CERTIFIED DATA PROTECTION OFFICER
www.pecb.com
Exercice 1 : Objectifs du RGPD
Énumérez quelques-uns des principaux objectifs du Règlement général sur la protection

des données (RGPD).
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
www.pecb.com
..................................................................................................................................................
Exercice 2 : Principes de protection des données
Après avoir lu l'étude de cas, expliquez pourquoi il est important pour Medicus Health de
se conformer à l'article 5 du RGPD, Principes relatifs au traitement des données à
caractère personnel.
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
www.pecb.com
..................................................................................................................................................
Exercice 3 : Droits de la personne concernée
Indiquez au moins deux actions qu'une organisation peut entreprendre afin de respecter
et de protéger le droit d'être informé et le droit d'opposition du RGPD.
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
www.pecb.com
..................................................................................................................................................
Quiz 1
1. Pourquoi l'UE a-t-elle décidé d'adopter le RGPD ?

A. Souligner l'importance du responsable du traitement
B. Faciliter la libre circulation des données dans l'UE
C. Faciliter la libre circulation des données en dehors de l'UE
D. Encourager la coopération avec d'autres États en dehors de l'UE
2. Laquelle des expressions ci-dessous est définie dans le RGPD comme : « les
données à caractère personnel résultant de traitements techniques spécifiques
liés aux caractéristiques physiques, physiologiques ou comportementales d'une
personne physique, qui permettent ou confirment l'identification unique de cette
personne physique, telles que les images faciales ou les données
dactyloscopiques » ?
A. Données génétiques
B. Profilage
C. Données à caractère personnel
D. Données biométriques
3. Quelle partie du RGPD fournit le contexte, la direction et l'orientation de ses

exigences afin qu'elles soient mieux comprises ?
A. Considérants
B. Articles
C. Directives
D. Citations
www.pecb.com
4. Selon l'article 10 du RGPD, quand faudrait-il procéder au traitement de données à
caractère personnel relatives à des condamnations pénales et infractions ou à des
mesures de sûreté connexes ?
A. Lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public
ou à l'exercice de l'autorité publique dont est investi le responsable du
traitement
B. Lorsque le traitement est autorisé par le droit de l'Union ou des États membres
prévoyant des garanties appropriées pour les droits et libertés des personnes
concernées et qu'il est effectué sous le contrôle d'une autorité publique
C. Lorsque la personne concernée a donné son consentement explicite au
traitement de ces données à caractère personnel pour une ou plusieurs finalités
déterminées
D. Lorsque le traitement est nécessaire à la protection des intérêts vitaux de la
personne concernée
5. Selon l'article 22 du RGPD, pourquoi le consentement de la personne concernée

est-il requis ?
A. Conserver les données à caractère personnel de la personne concernée aussi
longtemps que le responsable du traitement l'estime nécessaire
B. Sensibiliser à l'importance du consentement au sein de l'organisation
C. Traiter les données de manière transparente
D. Disposer d'une source valable pour l'évaluation du profilage automatisé
6. Une organisation informe un client qu'elle va détruire ses données à caractère

personnel puisqu'elles ne sont plus nécessaires. Le client peut-il, selon le RGPD,
empêcher l'effacement des données à caractère personnel et imposer à la place la
restriction de leur utilisation ?
A. Oui, en retirant le consentement
B. Non, les données à caractère personnel sont détruites lorsqu'elles ne sont plus
nécessaires
C. Oui, en cas de traitement illicite
D. Oui, uniquement en fournissant une déclaration complémentaire
www.pecb.com
7. Selon le RGPD, laquelle des options ci-dessous est autrement connue sous le nom
de principe de « minimisation des données » ?
A. Les données à caractère personnel doivent être adéquates, pertinentes et
limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles
sont traitées
B. Les données à caractère personnel doivent être exactes et, le cas échéant,
mises à jour
C. Les données à caractère personnel ne doivent être acquises qu'à des fins
précises et légitimes
D. Les données à caractère personnel doivent être traitées de manière à assurer
une sécurité appropriée, y compris la protection contre un traitement illicite ou
une perte, une destruction ou une détérioration accidentelle
8. Laquelle des déclarations suivantes concernant le droit à la limitation du

traitement n'est PAS correcte ?
A. La personne concernée peut demander aux responsables du traitement de
cesser le traitement de ses données si l'exactitude des données à caractère
personnel est contestée par la personne concernée
B. La personne concernée peut demander au responsable du traitement de cesser
le traitement de ses données si des données à caractère personnel sont traitées
de manière illicite
C. La personne concernée peut demander aux responsables du traitement de
cesser le traitement de ses données si le responsable du traitement n'a plus
besoin des données à caractère personnel aux fins du traitement
D. La personne concernée peut demander aux responsables du traitement de
cesser le traitement de ses données lorsque celui-ci est effectué par des
moyens automatisés
9. Quel est le rôle de l'autorité de contrôle ?
www.pecb.com
A. Veiller à ce que le RGPD soit appliqué de manière cohérente dans l'UE
B. Veiller à ce que les organisations respectent les droits des personnes
C. Prendre des décisions contraignantes à l'égard du Comité européen de la
protection des données (EDPB)
D. Fournir des lignes directrices sur la manière d'interpréter les concepts
fondamentaux du RGPD
10. À qui incombe la mission de coopérer avec l'autorité de contrôle ?

A. Coordinateur de la protection des données
B. Responsable de la sécurité de l'information
C. Seulement le sous-traitant
D. Le responsable du traitement et le sous-traitant
11. Quels types de données ne sont PAS considérés comme des données sensibles ?
A. Opinions politiques
B. Origine ethnique
C. Données génétiques
D. Adresse de résidence
12. Que garantit le principe de responsabilité ?

A. Le responsable du traitement des données respecte tous les principes du RGPD
B. Le traitement est basé sur le consentement
C. Les données à caractère personnel sont protégées
D. Le responsable du traitement doit répondre aux demandes dans un délai d’un à
trois mois
13. Dans quelles circonstances spécifiques les catégories particulières de données

peuvent-elles être traitées ?
A. Lorsque le délégué à la protection des données l'approuve
B. Chaque fois que le responsable du traitement approuve le traitement de
catégories particulières de données
C. Lorsque le directeur du service de la conformité le demande
www.pecb.com
D. Lorsqu'il y a un intérêt légitime en place
www.pecb.com
Devoir 1 : Divulgation de données à caractère personnel
James a rempli un formulaire de demande de prêt et l'a soumis à une institution de

microfinance. Un collègue de James a été contacté sur les médias sociaux par Volker,
un employé de l'institution de microfinance, qui se trouvait être un vieil ami et qui a
demandé des informations supplémentaires concernant la stabilité financière de
James. Considérant que l'institution de microfinance doit enquêter sur le profil de
James avant de lui accorder un prêt, Volker a approché son ami pour un café où il a
révélé des données à caractère personnel de James, notamment son numéro
d'identification, le nom de son père, son adresse personnelle et son numéro de
téléphone. Au cours de leur conversation, Volker a également révélé des informations
telles que la somme d'argent que James a demandée et le but du prêt. En outre, le
collègue de James a également été interrogé sur son opinion quant à la capacité de
James à rembourser le prêt et a été invité à fournir des informations sur son mode de
vie et ses antécédents financiers. Le collègue a refusé de répondre, car l'institution de
microfinance devrait avoir mis en place les mesures et les politiques nécessaires pour
examiner une demande de prêt et prendre une décision quant à son émission ou non.
Après le rejet de la demande de prêt, le collègue a informé James de ce qui s'était
passé.
Après en avoir été informé, James a déposé une plainte auprès du bureau du
commissaire à la protection des données concernant l'utilisation abusive de ses
données à caractère personnel par l'institution de microfinance et a demandé que des
mesures appropriées soient prises.
À la suite de ces développements, l'institution de microfinance vous a confié le rôle de

délégué à la protection des données pour les conseiller sur cette question. À ce titre, à
partir des informations susmentionnées, expliquez si l'une des exigences du RGPD a été
violée et, si tel est le cas, expliquez qui est responsable de la violation des données et
recommandez les mesures à prendre dans cette situation.
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 10
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 11
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
Exercice 4 : Délégué à la protection des données
© 2021 PECB | 12
Définissez les missions du DPO de Medicus Health, M. Nash, qui contribueront à assurer
le respect du RGPD. De plus, identifier les articles du RGPD relatifs à ces missions.
Enfin, expliquez les missions dont le DPO n’est pas responsable.
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
Exercice 5 : Responsable de la sécurité de l’information et délégué à la protection des

données
© 2021 PECB | 13
Expliquez la différence entre le responsable de la sécurité de l’information (RSI) et le

délégué à la protection des données (DPO), et pourquoi il n’est pas conseillé que le RSI
joue le rôle de DPO en même temps.
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
Exercice 6 : Politique de protection des données
En vous basant sur l’étude de cas, expliquez ce qui a causé la violation de données chez
Medicus Health et quels conseils devrait donner le DPO dans de telles circonstances.
© 2021 PECB | 14
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
Exercice 7 : Registres des activités de traitement
© 2021 PECB | 15
Selon les informations fournies dans la partie B de l’étude de cas, à savoir le Registre
des activités de traitement, évaluez si M. Nash a correctement conseillé Medicus Health
pour la création de ce registre.
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
Exercice 8 : Gestion des risques dans le cadre du RGPD
© 2021 PECB | 16
Expliquez ce qu’une approche de la protection des données fondée sur le risque prend
en compte et quelles mesures les organismes doivent prendre pour effectuer un
processus d’appréciation des risques afin d’atteindre leurs objectifs.
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
Quiz 2
© 2021 PECB | 17
1. À qui devrait être communiquée la politique de protection des données ?

A. Aux employés directement impliqués dans les activités de protection des
données
B. À la direction générale uniquement
C. À tous les employés de l’organisme
D. Au délégué à la protection des données
2. Quand le contrôle, l’évaluation et la revue de la politique de protection des

données devraient-ils être effectués ?
A. Seulement lorsque des changements majeurs surviennent
B. Régulièrement
C. Lorsque la réglementation nationale l’exige
D. Lorsque l’autorité de contrôle l’exige
3. Quelles aptitudes, compétences et connaissances devrait posséder le délégué à la

protection des données ?
A. Connaissances en finances
B. Expertise en audit interne
C. Expertise dans la mise en œuvre du RGPD
D. Connaissance du secteur d’activité et du fonctionnement de l’organisme
4. Parmi les éléments suivants, lesquels relèvent de la responsabilité du délégué à la

protection des données ?
A. Conseiller les responsables du traitement ou les sous-traitants en ce qui
concerne l’analyse de l’impact sur la protection des données et surveiller ses
résultats
B. Mettre en œuvre le RGPD au sein de l’organisme
C. Mener des audits internes au sein de l’organisme
D. Établir la politique de l’organisme relative à la protection des données
© 2021 PECB | 18
5. Parmi les éléments suivants, lequel NE relève PAS de la responsabilité du délégué

à la protection des données ?
A. Effectuer une analyse d’impact relative à la protection des données (AIPD)
B. Fournir des conseils au responsable du traitement ou au sous-traitant pour
l’AIPD
C. Fournir des conseils sur les programmes de sensibilisation et de formation du
personnel
D. Contrôler l’application des pratiques décrites dans la politique de protection des
données
6. Que détermine le responsable du traitement des données ?

A. Les fonctions du délégué à la protection des données (DPO)
B. Les méthodes utilisées pour surveiller l’analyse d’impact relative à la protection
des données
C. Quand licencier le DPO
D. La manière dont les données à caractère personnel sont stockées
7. Comment l’appréciation des conséquences (qui fait partie du processus

d’appréciation des risques) devrait-elle commencer ?
A. En déterminant l’impact des menaces sur les actifs et les processus
opérationnels
B. En dressant la liste des ressources concernées
C. En déterminant les menaces et les vulnérabilités
D. En identifiant les scénarios d’incidents connexes
8. Qu’est-ce que l’identification des activités de traitement ?

A. Le processus de définition des personnes qui traiteront les données
B. Le processus de décision concernant les méthodes de traitement des données
C. Le processus consistant à déterminer la provenance des données, la manière
dont elles sont traitées et le lieu où elles sont transférées
D. Le processus d’identification des méthodes d’enregistrement des données de
l’organisme
© 2021 PECB | 19
9. Que devrait faire le délégué à la protection des données lorsqu’il prend des
décisions ?
A. Dépendre des décisions des responsables
B. Consulter le responsable du traitement ou le sous-traitant dans l’exécution de
ses missions quotidiennes
C. Consulter d’autres employés lors de la prise de toute décision
D. Être totalement indépendant lors de la prise de décisions et de l’exécution de
ses missions quotidiennes
10. Qui est le responsable du traitement des données ?

A. La personne ou l’organisme qui traite les données pour le compte d’un
responsable du traitement
B. La personne ou l’organisme qui traite les données au nom d’un délégué à la
protection des données
C. La personne ou l’organisme qui traite les données au nom de l’autorité de
contrôle
D. La personne ou l’organisme qui traite les données au nom des parties
prenantes de l’organisme
11. Quel est le rôle du délégué à la protection des données dans le processus de
gestion des risques ?
A. Déterminer
B. Conseiller et surveiller
C. Mettre en œuvre
D. Tester
12. Quel est le rôle du délégué à la protection des données dans l’acceptation des
risques ?
A. Décider des risques à accepter
B. Aider l’organisme à déterminer si le risque résiduel se situe dans la fourchette
d’acceptation des risques
© 2021 PECB | 20
C. Accepter le risque
D. Mettre en œuvre des méthodes d’acceptation des risques
13. Quand un délégué à la protection des données est-il désigné ?

A. Lorsque le traitement des données est effectué par les tribunaux
B. Lorsque les activités de base de l’organisme portent sur une petite échelle de
catégories spéciales de données
C. Dans les cas où une autorité ou un organisme public effectue le traitement de
données, à l’exception des cas où le traitement de données est effectué par les
tribunaux
D. Lorsque l’organisme ne dispose pas d’un service juridique
© 2021 PECB | 21
Exercice 9 : Analyse d'impact relative à la protection des données
En vous basant sur l'étude de cas, examinez les rapports du processus d'analyse
d'impact relative à la protection des données (AIPD) et ses résultats. Ensuite,
déterminez si Medicus Health a effectué l'analyse d'impact relative à la protection des
données comme l'exige le RGPD et quelles informations supplémentaires devraient être
ajoutées dans les rapports, le cas échéant.
Étape 1 : Identifier la nécessité de réaliser une AIPD

Décrivez l'objectif du projet et le type de données traitées, puis identifiez la nécessité de faire une
AIPD.
Medicus Health utilise un logiciel pour collecter les dossiers médicaux des
patients, y compris les données prescrites, les demandes de remboursement et les
dossiers médicaux électroniques. Les données collectées servent d’éléments
d'entrée pour la plate-forme de traitement, qui est utilisée pour établir des modèles
et mesurer l'efficacité des médicaments et des thérapies médicales nouvellement
découverts.
Étape 2 : Décrire le flux d'information

Décrivez comment les données seront collectées, utilisées, stockées et supprimées, quelle est la
nature des données, si des catégories particulières de données sont incluses, combien de
personnes sont concernées et si les données seront partagées avec d'autres parties.
Les dossiers médicaux des patients sont recueillis dans des cliniques de santé
situées à Francfort, tandis que les technologies de traitement de l'information
utilisant des logiciels et du matériel informatique sont utilisées pour stocker,
récupérer et partager les dossiers médicaux des patients. Les données collectées
sont conservées sur les serveurs pendant 24 mois et sont ensuite supprimées. Au
cours de leur cycle de vie, ces dossiers médicaux seront partagés avec l'agence
clinique aux Pays-Bas.
© 2021 PECB | 22
Étape 3 : Identifier la protection des données et les autres risques connexes

Décrivez les sources de risque, leur impact potentiel sur les personnes concernées et indiquez si le
risque global est classé comme faible, moyen ou élevé
Un ensemble de données spécifiques a été stocké dans la base de données dans

son format d'origine. En cas de violation des données à caractère personnel,
l'identité des personnes concernées serait révélée et la protection de leurs
données personnelles serait violée.
Étape 4 : Identifier et évaluer les mesures de protection des données

Identifiez les mesures à prendre pour réduire ou éliminer les risques identifiés à l'étape 3
Des mesures techniques de sécurité devraient être appliquées à l'ensemble des

données en utilisant des méthodes de pseudonymisation telles que le chiffrement.
Étape 5 : Documenter et signer les résultats de l'AIPD
Mesures approuvées par : M.F.
Magnus Fischer, PDG Mai 2018
Conseils du DPO fournis par : J.N.
John Nash, DPO Mai 2018
L'AIPD sera examinée par : M.F.
Magnus Fischer, PDG Mai 2018
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 23
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 24
Exercice 10 : Articles du RGPD
Pour chacun des articles suivants du RGPD, fournissez au moins deux exemples de
preuve qui permettraient d'assurer la conformité à l'exigence respective.
Exemple : Article 24 Responsabilité du responsable du traitement
• L'organisme a mis en place des mesures techniques et organisationnelles

appropriées pour garantir que le traitement est effectué conformément au RGPD.
• L'organisme a mis en œuvre des politiques de protection des données.
1. Article 35, Analyse d'impact relative à la protection des données
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
2. Article 9, Traitement portant sur des catégories particulières de données à

caractère personnel
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
3. Article 6, Licéité du traitement
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 25
..................................................................................................................................................
4. Article 12, Transparence des informations et des communications et modalités de

l'exercice des droits de la personne concernée
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
5. Article 28, Sous-traitant
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 26
Exercice 11 : Protection des données et technologies
Expliquez l'impact du RGPD sur les nouvelles tendances et technologies qui collectent,
stockent et traitent les données à caractère personnel.
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 27
Quiz 3
1. Dans lequel des scénarios suivants une AIPD n'est-elle PAS nécessaire ?
A. Lorsque l'organisme envisage d'adopter une nouvelle technologie pour faciliter
le traitement de données à grande échelle
B. Lorsque l'organisme traite des catégories particulières de données à caractère
personnel
C. Lorsque l'organisme utilise un traitement automatisé pour l'évaluation des
données à caractère personnel des personnes concernées
D. Lorsque le traitement de données à caractère personnel n'est pas susceptible
d'entraîner un niveau élevé de risque pour les droits et libertés des personnes
concernées
2. Pourquoi est-il important que le délégué à la protection des données comprenne le

processus de gestion des documents ?
A. Pour remplacer le processus de gestion de la documentation par des activités
de traitement des données à caractère personnel
B. Pour assurer une responsabilité proactive
C. Pour optimiser la recherche et la mise à jour de la documentation
D. Pour décrire les processus, les procédures et les mesures de sécurité
3. Laquelle des méthodes suivantes est une méthode d'anonymisation ?

A. Brouillage (scrambling)
B. Ajout de bruit aux données
C. Tokenization
D. Chiffrement
4. Pour quel type de données à caractère personnel la pseudonymisation devrait-elle

être utilisée ?
A. Genre
B. Nationalité
C. Profession
D. Données bancaires
© 2021 PECB | 28
5. Que devrait garantir le délégué à la protection des données lorsqu'il reçoit des
demandes d'effacement de données à caractère personnel ?
A. Le DPO ne devrait recevoir des copies des données que dans les cas où le
responsable du traitement le demande
B. Le DPO devrait veiller à ce que les copies liées à l'affaire ne soient conservées
que dans le bureau du plus haut niveau de direction
C. Le DPO devrait veiller à ce que les copies liées à l'affaire soient conservées pour
une durée indéterminée
D. Le DPO devrait s'assurer que l'effacement est irréversible et qu'aucune des
données supprimées ne peut être récupérée
6. Quel est le rôle du DPO dans l'analyse d'impact relative à la protection des
données ?
A. Le DPO mène l'AIPD en collaboration avec l'organisme
B. Le DPO conseille l'organisme lors de l'exécution de l'AIPD
C. Le DPO alloue les ressources nécessaires à la réalisation de l'AIPD
D. Le DPO décide de la méthodologie à suivre lors de la réalisation de l'AIPD
7. Quelles sont les missions du DPO en ce qui concerne les mesures de protection
des données ?
A. Mettre en œuvre les mesures de protection des données après avoir mené un
processus d'appréciation des risques et une AIPD
B. Évaluer les exigences en matière de protection des données et de la vie privée
C. Surveiller la mise en œuvre des mesures de protection des données
D. Sélectionner les mesures de protection des données en rapport avec le rôle de
l'organisme
8. Parmi les informations suivantes, quelles sont celles qui doivent être conservées
par le sous-traitant ?
A. Les délais d'effacement des différentes catégories de données
B. Les catégories de destinataires auxquels les données à caractère personnel ont
été ou seront communiquées
© 2021 PECB | 29
C. Les catégories de traitements effectués pour le compte de chaque responsable

du traitement
D. Une description des catégories de données à caractère personnel traitées
9. Quand une AIPD est-elle nécessaire ?

A. Lorsque le traitement n'est pas susceptible d'entraîner un niveau de risque élevé
B. Lorsque le traitement concerne des données de patients ou de clients par un
médecin ou un professionnel de la santé
C. Lorsque le traitement comprend des données au niveau régional ou national et
qu'il touche un grand nombre de personnes concernées
D. Lorsque le traitement est inclus dans la liste facultative des activités de
traitement
10. Quels documents le DPO devrait-il examiner pour s'assurer de la conformité au

RGPD ?
A. Procédure de réponse en cas de violation des données
B. Résultats de l’audit de certification
C. Documents relatifs aux supports utilisés pour communiquer des informations
D. Guides sur l'utilisation des supports amovibles
11. Quel est l'objectif de la protection des données par conception et par défaut ?
A. Mettre en place des systèmes informatiques qui respectent la vie privée des
personnes concernées
B. Créer des systèmes et des services qui minimisent les données grâce à des
paramètres favorables à la protection des données pendant leur cycle de vie
C. Créer des systèmes et des services qui suppriment les informations sensibles
d'un ensemble de données
D. Mettre en place des systèmes informatiques qui rendent difficile la récupération
d'informations sensibles dans un ensemble de données
12. Un organisme utilise le symbole # pour masquer les parties uniques des numéros
de cartes de crédit afin d'éviter l'identification des personnes concernées à partir
© 2021 PECB | 30
de leur numéro de carte de crédit. De quelle méthode de pseudonymisation s'agit-

il ?
A. Brouillage (scrambling)
B. Chiffrement
C. Masquage
D. Tokenization
13. Pourquoi le DPO devrait-il surveiller la mise en œuvre des mesures techniques de
sécurité ?
A. Pour créer des dispositifs de sécurité
B. Pour surveiller le traitement des données
C. Pour garantir la sécurité des opérations
D. Pour maximiser le traitement des données à caractère personnel
© 2021 PECB | 31
Devoir 2 : Les trois principales fuites de données
British Airways, Marriott International et Google ont été condamnées à des millions
d'amendes pour leurs fuites de données. En outre, ces amendes représentent 90 % de
toutes les amendes du RGPD.
1. British Airways a déclaré que les réservations effectuées sur le site Web ba.com et
son application mobile du 21 août au 5 septembre 2018 ont été compromises.
Cette fuite de données a révélé les données à caractère personnel d'environ 380
000 clients, y compris leurs nom, adresse e-mail et numéro de carte de crédit.
British Airways a informé le Commissaire à l'information (ICO) et ses clients de
cette violation, comme l'exige le RGPD. L'ICO a annoncé que la fuite massive des
données a été causée par le détournement des clients de British Airways vers un
site frauduleux. De plus, l'ICO a déclaré que c'était la première amende rendue
publique depuis l'entrée en vigueur du RGPD.
2. Marriott International a déclaré que les données à caractère personnel, notamment

les numéros de cartes de crédit, adresses, numéros de téléphone et numéros de
passeport, d'environ 339 millions d'invités ont été compromises, dont 30 millions
sont des résidents de pays de l'EEE. Marriott International a déclaré que son
système de réservation, Starwood, a été attaqué et que des données à caractère
personnel ont été copiées et chiffrées. L'ICO a déclaré que la fuite de données a
compromis les données à caractère personnel des clients du Marriott International
de 2014 à septembre 2018. Bien qu'aucun détail technique n'ait été rendu public,
Marriott a pris connaissance de la violation de données pour la première fois
lorsqu'une requête inhabituelle dans la base de données a été faite par un utilisateur
ayant des droits d'administrateur. Les enquêtes ont montré que les attaquants ont
pris le contrôle de Starwood grâce à ce compte administrateur.
3. Google a été condamnée à une amende pour avoir enfreint le RGPD. La

Commission Nationale de l'Informatique et des Libertés (CNIL) a déclaré que
Google a été condamnée à une amende de 50 millions de dollars parce qu'elle a
violé le principe de transparence lorsque ses utilisateurs d’appareils Android ont
créé un compte Google, qu'elle a offert des informations inadéquates si l'utilisateur
demandait à être informé de toutes les données collectées par Google, et que le
© 2021 PECB | 32
processus d'obtention du consentement utilisé pour ajouter la personnalisation

présentait des lacunes.
Selon les informations fournies sur les trois plus grandes violations de données
sanctionnées par le RGPD, discutez de ce que vous pensez de ces situations et
expliquez quelles exigences du RGPD présentées par chacun des organismes ont été
violées. En outre, en tant que délégué à la protection des données, comment aideriez-
vous ces organismes à prévenir de telles violations de données ?
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 33
© 2021 PECB | 34
Exercice 12 : Violation de données à caractère personnel
En vous référant au formulaire de notification de violation de données à caractère

personnel que Medicus Health a mis en place lors de la phase de mise en œuvre du
RGPD, précisez si la société a fourni toutes les informations nécessaires lorsqu'elle a
notifié la violation de données à caractère personnel à l'autorité de contrôle.
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 35
Exercice 13 : Audit interne de protection des données
À la suite de la réalisation d'un audit interne de protection des données, le DPO a

constaté que la Politique de protection des données n'a été communiquée qu'aux
managers de Medicus Health, alors que le reste des employés ignoraient l'existence de
cette politique. En outre, l'audit interne de protection des données a révélé que les
fichiers logs des changements qui surviennent dans les serveurs de l'organisme ne sont
pas conservés comme le prévoit la politique.
Une fois rédigées les conclusions de l'audit interne de protection des données, quelles
devraient être les actions futures du DPO ? En outre, comment le DPO s'assurerait-il que
les actions proposées sont appliquées ?
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 36
Exercice 14 : Amélioration continue
Comment le DPO contribuerait-il à la création d'une culture d'amélioration continue de la

protection des données dans le cadre de Medicus Health ? Présentez au moins trois
actions que le DPO pourrait entreprendre pour établir une culture d'amélioration
continue au sein de Medicus Health et expliquez comment cela pourrait être pertinent
pour la mise en œuvre du RGPD.
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
© 2021 PECB | 37
Quiz 4
1. Un organisme a été confronté à des violations de données à caractère personnel

au sein de son département financier. Selon les exigences du RGPD, que faut-il
faire dans ce cas ?
A. L'incident doit être signalé à tous les employés de l'organisme au plus tard
72 heures après en avoir eu connaissance
B. L'incident doit être signalé à l'autorité de contrôle au plus tard 72 heures après
en avoir eu connaissance
C. L'incident doit être signalé à l'autorité de contrôle au plus tard 24 heures après
en avoir eu connaissance
D. L'incident doit être signalé aux personnes concernées au plus tard 72 heures
après en avoir eu connaissance
2. En quoi la mise en place d'un processus de gestion des incidents aide-t-elle les
organismes ?
A. Détecter, signaler et évaluer les incidents de sécurité de l'information
B. Détecter et corriger les incidents de sécurité de l'information après leur
survenance
C. Corriger les incidents de sécurité de l'information après leur survenance
D. Traiter de grandes catégories de données
3. Selon l'article 34 du RGPD, qui doit communiquer la violation de données à la

personne concernée et quand ?
A. Le délégué à la protection des données devrait informer la personne concernée
de toute violation des données à caractère personnel dans un délai d'un mois
B. Le délégué à la protection des données doit, en tout état de cause, informer la
personne concernée chaque fois qu'une violation, même minime, des données à
caractère personnel de la personne concernée s’est produite
C. Lorsqu'une violation de données à caractère personnel est susceptible
d'engendrer un risque élevé pour les droits et libertés d'une personne physique,
le responsable du traitement communique la violation de données à caractère
personnel à la personne concernée dans les meilleurs délais
D. Lorsque la violation de données à caractère personnel est susceptible
d'entraîner un risque élevé pour les droits et libertés des personnes physiques,
© 2021 PECB | 38
le délégué à la protection des données communique immédiatement avec la

personne concernée
4. Quel est le rôle du délégué à la protection des données dans la gestion des
incidents et des violations de données à caractère personnel ?
A. Surveiller et évaluer le plan de gestion des incidents et de réponse aux
violations de données à caractère personnel
B. Établir la procédure de gestion des incidents
C. Faire face aux violations de données
D. Attribuer des rôles et des responsabilités aux personnes qui s'occuperont de la
gestion des incidents
5. Quel est l'objectif de la mesure dans le contexte de la protection des données ?

A. Surveiller les technologies utilisées pour identifier les violations de données
B. Évaluer l'efficacité des processus et procédures de protection des données en
place
C. Attribuer des rôles et des responsabilités appropriés au personnel
D. Surveiller la direction générale de l'organisme
6. Lequel des éléments suivants n’est PAS une mission du délégué à la protection
des données en relation avec un audit interne sur la protection des données ?
A. Réaliser des audits internes sur toutes les activités de traitement des données
B. Conseiller l'organisme pour le suivi des non-conformités
C. Notifier à l'autorité de contrôle les résultats de l'audit interne
D. Préparer l'organisme à d'autres types d'audits
7. Laquelle des méthodes suivantes de communication des résultats des mesures

est utilisée pour surveiller les opérations en temps réel ?
A. Rapports des clients
B. Tableau de bord analytique
C. Tableau de bord de sécurité
D. Tableau de bord opérationnel
8. Que devrait surveiller en permanence le délégué à la protection des données ?
© 2021 PECB | 39
A. Changements dans les missions du RSI

B. Changements dans la politique de gestion du changement
C. Changements dans les rôles et responsabilités des employés
D. Changements dans les documents de protection des données
9. Que devrait comprendre un processus d'actions correctives ?

A. Refonte de la procédure d'actions correctives
B. Analyse détaillée de la non-conformité
C. Sélection des solutions
D. Mesures détaillées pour prévenir une violation de données
10. Parmi les éléments suivants, lequel n'est PAS une étape du plan de réponse aux
violations de données à caractère personnel ?
A. Récupération
B. Solution ou éradication
C. Leçons à retenir
D. Communication/rapport de résolution
11. Quel est l'objectif d'une action corrective ?

A. Permettre au délégué à la protection des données de mettre facilement en
œuvre le processus d'actions correctives
B. Éliminer définitivement les causes racines d'une non-conformité ou de tout
autre événement indésirable existant, ainsi que prévenir son apparition
C. Supprimer toutes les non-conformités et leur apparition
D. Permettre au responsable du traitement ou au sous-traitant de supprimer les
violations de données au sein de l'organisme
12. Parmi les éléments suivants, lequel constitue une menace et un incident fréquents
causés par des logiciels malveillants ?
A. Code malveillant dans les e-mails et les téléchargements non autorisés
B. Tentative d'obtenir des données confidentielles des utilisateurs en vue d'une
utilisation frauduleuse ultérieure par l'envoi d’e-mails prétendant être une
source fiable (p. ex., institutions financières)
© 2021 PECB | 40
C. Erreur humaine due au manque de formation et de sensibilisation

D. Accès physique non autorisé aux locaux de l'organisme dans le but de voler des
systèmes
13. Que devrait faire le délégué à la protection des données dans le cadre du plan et
des phases de préparation de la gestion des incidents ?
A. Enquêter sur l'incident
B. Déterminer s'il existe une politique établie qui précise comment les incidents
devraient être traités
C. Mettre en œuvre le plan de gestion des incidents
D. Surveiller la mise en œuvre du plan de gestion des incidents
© 2021 PECB | 41

03 CDPO FR ExS V6.1 20210629

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

03 CDPO FR ExS V6.1 20210629

Transféré par

Droits d'auteur :

Formats disponibles

EXERCICES

FORMATION CERTIFIED DATA PROTECTION OFFICER

Énumérez quelques-uns des principaux objectifs du Règlement général sur la protection

Exercice 2 : Principes de protection des données

Exercice 3 : Droits de la personne concernée

1. Pourquoi l'UE a-t-elle décidé d'adopter le RGPD ?

3. Quelle partie du RGPD fournit le contexte, la direction et l'orientation de ses

5. Selon l'article 22 du RGPD, pourquoi le consentement de la personne concernée

6. Une organisation informe un client qu'elle va détruire ses données à caractère

8. Laquelle des déclarations suivantes concernant le droit à la limitation du

9. Quel est le rôle de l'autorité de contrôle ?

10. À qui incombe la mission de coopérer avec l'autorité de contrôle ?

12. Que garantit le principe de responsabilité ?

13. Dans quelles circonstances spécifiques les catégories particulières de données

Devoir 1 : Divulgation de données à caractère personnel

James a rempli un formulaire de demande de prêt et l'a soumis à une institution de

À la suite de ces développements, l'institution de microfinance vous a confié le rôle de

Exercice 4 : Délégué à la protection des données

Exercice 5 : Responsable de la sécurité de l’information et délégué à la protection des

Expliquez la différence entre le responsable de la sécurité de l’information (RSI) et le

Exercice 6 : Politique de protection des données

Exercice 7 : Registres des activités de traitement

Exercice 8 : Gestion des risques dans le cadre du RGPD

1. À qui devrait être communiquée la politique de protection des données ?

2. Quand le contrôle, l’évaluation et la revue de la politique de protection des

3. Quelles aptitudes, compétences et connaissances devrait posséder le délégué à la

4. Parmi les éléments suivants, lesquels relèvent de la responsabilité du délégué à la

5. Parmi les éléments suivants, lequel NE relève PAS de la responsabilité du délégué

6. Que détermine le responsable du traitement des données ?

7. Comment l’appréciation des conséquences (qui fait partie du processus

8. Qu’est-ce que l’identification des activités de traitement ?

10. Qui est le responsable du traitement des données ?

13. Quand un délégué à la protection des données est-il désigné ?

Exercice 9 : Analyse d'impact relative à la protection des données

Étape 1 : Identifier la nécessité de réaliser une AIPD

Étape 2 : Décrire le flux d'information

Étape 3 : Identifier la protection des données et les autres risques connexes

Un ensemble de données spécifiques a été stocké dans la base de données dans

Étape 4 : Identifier et évaluer les mesures de protection des données

Des mesures techniques de sécurité devraient être appliquées à l'ensemble des

Étape 5 : Documenter et signer les résultats de l'AIPD

Mesures approuvées par : M.F.

Magnus Fischer, PDG Mai 2018

Conseils du DPO fournis par : J.N.

John Nash, DPO Mai 2018

L'AIPD sera examinée par : M.F.

Magnus Fischer, PDG Mai 2018

Exercice 10 : Articles du RGPD

Exemple : Article 24 Responsabilité du responsable du traitement

• L'organisme a mis en place des mesures techniques et organisationnelles

1. Article 35, Analyse d'impact relative à la protection des données

2. Article 9, Traitement portant sur des catégories particulières de données à

3. Article 6, Licéité du traitement

4. Article 12, Transparence des informations et des communications et modalités de

Exercice 11 : Protection des données et technologies

2. Pourquoi est-il important que le délégué à la protection des données comprenne le

3. Laquelle des méthodes suivantes est une méthode d'anonymisation ?

4. Pour quel type de données à caractère personnel la pseudonymisation devrait-elle

C. Les catégories de traitements effectués pour le compte de chaque responsable

9. Quand une AIPD est-elle nécessaire ?

10. Quels documents le DPO devrait-il examiner pour s'assurer de la conformité au

de leur numéro de carte de crédit. De quelle méthode de pseudonymisation s'agit-

Devoir 2 : Les trois principales fuites de données