Conformité des entreprises / RGPD

Regarder les videos sur Learn

Chronologie des lois de protection des données (pas liste exhaustive) > p6

> la France a été précurseur : Loi du 6 janvier 1978 qui s’applique en France concernant la
protection des données.
> autre texte : convention 108 du Conseil de l’Europe : texte qui vise aussi à réglementer les pb
de transfert et protection de données. Originalité : c’est un traité international qui va être rati é par
les membres du CE (47 membres - Russie a annoncé sa sortie même si pas o ciel) et états pas
membres du CE (Tunisie)
> La peur de l’UE à l’époque : fragmentation du marché , que chacun des états membres
adoptent une loi pour eux : donc Directive 95/46 du 24 octobre 1995 : texte qui a besoin d’être
transposé dans l’ordre national.
> La France l’a fait en 2004 via loi du 6 aout 2004 qui transpose la directive en droit français.
Changement de logique : plus une volonté de protéger les citoyens ) l’égard de l’état mais plutôt
protéger les consommateurs a l’égard des opérateurs privés (GAFAM).
> 2016 on adopte le Règlement général sur la protection des données (RGPD) et entre en
application en 2018.
Ce qui motive l’adoption du RGPD :
— L’évolution des technologies
— augmentation de la collecte et traitement des données perso
— évolution des réseaux sociaux et moteurs de recherche qui vont accentuer la globalisation des
données.

Dé nitions (p7)

I. La notion de donnée personnelle (donnée anonymisée, pseudonysée) (p9)

DONNÉE PERSO

C’est « toute information se rapportant à une PP identi ée ou identi able ».

C’est vraiment la capacité de l’info à identi er l’individu (ex : adresse mail pro = donnée perso car
on y trouve nom et prénom). C’est vraiment « est ce que l’info permet de m’ID ».

Pas que nom , prénom mais aussi identi ant (ex : n° CB, étudiant > numéros uniques qui
permettent de m’ID).
C’est une notion objective : la notion de donnée perso n’est pas liée à la capacité qu’aurait la
personne qui collecte l’info a ID (plaque d’immatriculation , vous VS police).

Ce n’est pas lié à l’usage, à l’utilisation qu’on va faire de l’info, c’est est ce que l’info va servir à ID
un individu.

EX de données perso :
— Passeport, empreintes biométriques, numéro de CB, adresse IP, coordonnées GPS

Cas de l’adresse physique : nom de la rue et numéro : pas ID car 700 personnes habitent au
même endroit (a paris).
Mais si peu de personnes habitent au même endroit (campagne) , on peut m’ID.

Les données publiques si elles sont relatives a des individus = données personnelles. Ce n’est
pas forcément une donnée con dentielle.

TR : sous catégorie a la donnée perso

1 sur 10
fi
fi
fi
fi
fi
fi
ffi
fi
 DONNÉE PSEUDONYME : indirectement a ch personnel. C’est une donnée perso, pas besoin
d’utiliser mon nom et prénom, si vous utilisez mon ID à l’ESG ça su t. C’est un traitement qui
consiste à dissimuler ‘identité. L’objectif de cette opération est de traiter des données sans qu’il
soit nécessaire de connaitre l’identi é de la personne. Le but est de restreindre l’identi cation
aussi (RIB slmt sans nom prénom : seule la banque et moi sommes capables de savoir que c’est
moi).
DONC si la donnée est perdue, le préjudice pour la personne sera moindre.

DONNÉES ANONYMES : on coupe le lien entre l’individu et la donnée. Plus personne ne peut ID
la personne concernée. On est plus dans le périmètre d’appli du RGPD.
L’anonymisation par contre est compliquée (on laisse des traces via les réseaux etc.)
C’est non réversible : on ne peut plus revenir à l’identi cation de la personne.
Il faut maintenir cela dans le temps.

Etude (p12) : 99% des américains seraient ID sur la base de 15 attributs et 83% a partir de 3
attributs.

SYNTHÈSE (p13)

L’adresse IP est elle une donnée à ch personnel ? (P14) :

Les di érentes catégories de données

— données standards : nom, prénom, adresse, âge, passion = infos qui ne font pas l’objet d’une
catégorie particulière au titre du RGPD

— données particulières ou sensibles : liste de ces données (sensibles car peuvent avoir un
impact sur l’individu sur l’important comme par ex des données de santé).
Liste à l’article 9 : origine raciale, opinions politiques, convictions religieuses, appartenance
syndicale, données génétiques, données biométriques, santé, vie sexuelle, orientation sexuelle.
Le traitement de ces données est soumis à des restrictions. Par principe c une interdiction (on ne
peut pas traiter ces données sauf exceptions : ex : si employeur va regarder appartenance
syndicale pour l’organisation des élections syndicales)

— données d’infraction : vont avoir un impact

Font l’objet de restrictions : on est pas autorisés à les traiter. Traitement mis en place que sous le
contrôle de l’autorité publique ou du droit d’un état membre : faut une autorisation légale.

— donnée à caractère hautement personnel : création prétorienne du Comité euro de la

protection des données qui est une institution européenne, qui a vocation a regrouper à Bruxelles
l’ensemble des représentant de la protection des données personnelles au niveau national. C’est
une catégorie intermédiaire entre donnée personnelle et particulière.
Le comité a un rôle d’harmonisation entre les autorités nationales.
Une des positions : lignes directrices sur les PIA (Privacy Impact Assesment)

Ex : données de géolocalisation, de paiement

II. Les di érents modes de collecte des données (p.23)

Y en a deux
— mode direct : quand on a un responsable de traitement qui va collecter directement auprès de
la personne des infos (ex : ESG est venue vers nous pour collecter les infos)
— mode indirect : cas dans lequel le responsable passe par un intermédiaire : les données sont
communiquées par un tiers (ex: usine qui collecte des données auprès de moi et les transmets à
un autre responsable de traitement).
On parle de « Web scrapping » : opération illégale car porter atteinte au droit de PI de la base de
donnée.

2 sur 10
ff
ff
fi
fi
ffi
fi
 III. La notion de traitement de données personnelles

Pour être soumis au RGPD faut collecter la donnée + qu’elle fasse l’objet d’un traitement.
La notion de traitement est large et comprend collecte, enregistrement, organisation,
structuration, conservation etc.)
Le traitement papier reste soumis au RGPD a condition qu’il soit bien organisé.

Notion de transfert aussi (p25) : fait de communiquer des données par le biais de réseaux.
Dé nition de la CNIL : un transfert peut s’e ectuer par communication, copie ou déplacement de
donnée par l’intermédiaire d’un réseau (ex : accès distance à une base de données) ou d’un
support à un autre.

IV. Les acteurs de la protection des données (p.26)

Les autorités de contrôle et de supervision : en France c’est la CNIL

> indépendante et dotée d’un pouvoir de sanction

Comité européen à la protection des données

Personne concernée : personne dont on traite les données.

Responsable de traitement : celui qui va décider de la nalité pour laquelle on va traiter l’info. Il
xe l’objectif.

Sous traitant : prestataire qui va agir au nom et pour le compte du responsable de traitement. Il
va l’aider à accomplir sa mission.

Destinataire : reçoit l’info.

Tiers autorisé : autorisé par un texte à prendre connaissance de l’info (ex : police quand ils
adressent une réquisition judiciaire. Ils sont tiers autorisé).

Les autorités de contrôle par état membre (p27)

> elles sont désignées par état membre : va être en charge d’appliquer le RGPD à l’échelle
nationale et sanctionner les entreprises.

Le comité à la protection des données : organe de l’UE donc la mission et harmonisation et

règlement des litiges entre ces autorités nationales.
Il va publier des lignes directrices , recommandations, conseiller la Commission.
Pas de sanction aux entreprises.

Violation du RGPD qui concernerait plusieurs pays européens et donc plusieurs autorités de
contrôle sont compétentes pour traiter ce cas là. Ce sera tjrs au niveau national.

Le contrôleur européen a la protection des données : encore une autorité qui vise à contrôler
le respecte par les institutions de l’UE les règles de protection des données.
Le contrôleur a un rôle plus ponctuel : va superviser les institutions et organes de l’union et assure
le secrétariat du comité.

Les personnes concernées : employés, citoyens, usagers, clients, fournisseurs, représentants

d’une PM, enfants, contacts

Responsable de traitement : PM ou PP ou autorité publique, collectivités locales etc. Qui vont

dé nir les nalités et les moyens de traitement.

3 sur 10
fi
fi
fi
fi
ff
fi
 La notion de nalité = objectif suivi (ce que vous voulez faire : comm réseaux sociaux, ID des
fraudeurs, commercialiser des produits et services). C’est le principe coeur en matière de
protection des données personnelles. Le responsable de traitement peut être désigné par un texte
législatif. (Ex : La Banque de France est désignée comme responsable de traitement par le Code
de la consommation)

Sous traitant : PM ou PP ou autorité publique qui va traiter des données à ch personnel pour le
compte du responsable du traitement.
Ne peut pas utiliser ces données pour son usage propre.

Destinataire : PP ou PP qui va recevoir la communication de la donnée à ch personnel, qu’il

s’agisse d’un tiers ou non

V. Les principes fondamentaux

A. Champ d’application matériel du RGPD

C’est le traitement de données personnelles

Exclusion de l’application du RGPD : p36

— pas applicable en matière de défense
— idem en ce qui concerne la politique étrangère et la sécurité commune
— idem pour les activités strictement personnelles (ex : liste de contact tél avec leur nom prénom
mais comme ça relève uniquement de ns privées, donc non soumission au RGPD).
— ce qui relève de la prévention et détection des infractions pénales
— pas applicables aux organes et institutions de l’UE

B. Champ géographique / territorial

Pas de notion de nationalité ou de résidence : pas pcq on est européen qu’on est protégé par le
RGPD. Faut être sur le territoire de l’UE (EX : si je suis en vacances au Japon et que je suis
française, je suis soumise et béné cie des droits locaux VS américain qui vient en France est
protégé)

RGPD applicable si :
— installation physique sur le territoire de l’UE
— si vous n’êtes pas établis : critère de ciblage :
* mais que vous proposez des biens ou services à des membres de l’UE, vous êtes soumis à la
protection du RGPD. Le simple fait que vous ayez un site web et que ce dernier soit visible en
UE ça su t pas. Faut qu’il soit en euro, traduction en langue des pays de l’UE, numéro d’appel
etc.
* Si les traitement portent sur le suivi de comportement de personnes au sein de l’UE

Ces deux champs = application du RGPD

VI. L’articulation des principes de protection des données (p39)

Le principe de base : la nalité > c’est l’objectif poursuivi , ce que l’on va faire avec ces données

Principe de fondement : tous les traitements doivent avoir un fondement / base légale. Y a 6
bases légales / fondement qui existent (le consentement par exemple des personnes concernées,
le contrat, l’intérêt légitime du responsable de traitement, l’intérêt public, l’intérêt vital etc.)

Les données / principe de minimisation : on ne peut connecter que les données qui sont
strictement nécessaires par rapport à la nalité.

4 sur 10
ffi
fi
fi
fi
fi
fi
 La durée de conservation : doit être délimitée. On ne peut pas garder des données indé niment.

Destinataire : seule les personnes en vertu de la nalité ont besoin de connaitre l’info vont
recevoir l’info

Les mesures de sécu / con dentialité : les mesures de sécurité vont être dépendantes des
nalités

VII. Les obligations des responsables de traitement (pas ça au premier QCM, seulement les
principes et dé nition

Obligations car objectif est qu’en cas de manquement il faut les sanctionner.

A. Les responsables de traitement établis en Europe

Les obligations > p.42

— obligation privacy by design : obligation de prendre en compte le principe de protection des

données dès la conception.
Ça veut dire que les responsables doivent quand ils produisent et conçoivent des produits et
services de prendre en compte le principe de protection
(Ex : pas possible de mettre en place un traitement qui ne prévoit pas un système de purge).
& by default : concerne les spéci cations notamment tout ce qu’on peut mettre en place en
terme de con guration des options (ex : sur le réseau social, mon pro l ne peut pas être public
par défaut. Par défaut, mon pro l sur Facebook est privé et si je souhaite le rendre public je dois
volontairement le faire).

— les privacy impact assessment PIA

— accountabilitly : Principe de responsabilité qui passe par la mise en place de documentation :

obligation de registre (enregistrement des traitement)

— noti cation des violation de données : violation > perte ou incident qui porterait sur des
données personnelles (ex : une négligence ou l’envoi de données par mail qui ne sont pas
protégées et erreur sur le destinataire).

— obligation de désigner un Data Protection O cer : personne en charge de contrôler les

traitement et conseiller l’entreprise

— obligation de transfert de données hors UE (hors EEE) : champ d’appli du RGPD est plus
large et c’est l’EEE qui sera concerné (27 + 3)

— règles de sécurité et con dentialité : nécessite une approche par des risques > plus

Les obligations des responsables de traitement établis en Europe

> le RGPD a des e ets extra territoriales : entreprises établies au sein de l’UE (établissement,
bureau, personnel au sein de l’UE mais aussi extra territoriale quand on vise le territoire de l’UE
(que ce soit à des ns nancières ou pour des dispositifs de tracking)
C’est pas une question de citoyenneté (pas pcq je suis française en vacances au Japon que la
règlementation va s’appliquer)
= c’est une des originalités du RGPD

- obligations pour ceux qui sont établis : principe de Privacy by design et by default = faut que
dès la conception les produits et services soient conformes.

5 sur 10
fi
fi
fi
fi
fi
ff
fi
fi
fi
fi
fi
ffi
fi
fi
fi
 > Privacy by design : protection des données dès la conception

> Privacy by default : lié à la con guration et paramètre utilise (utilisation a choix entre pro l privé
et public, il faut que le pro l soit privé par défaut). Paramètres les plus protecteurs doivent être
appliqués.

> privacy impact assessment PIA : évaluer impact que le traitement peut avoir sur la vie des
utilisateurs (ex : véhicules ont des trackeurs = peuvent révéler des infos qui nous concernent
comme état de santé si bcp de trajets à l’hôpital etc.) donc y a des risques et donc un principe
qui est la liberté de circulation sans être surveillé. Donc les dispositifs de tracking doivent faire
l’objet d’une évaluation de l’impact

> registre des activités de traitement : mettre en place des mesures de sécurité pour échanger
avec des entreprises, liales établies en UE.
A noter que pas avec les pays tiers qui n’ont pas le même niveau de protection que nous.
Pour faire en sorte que le niveau de protection des données soient équivalents quand transfert
hors UE, on traite les activités

> obligation de sécurité et con dentialité : assurer la sécurité des données

Ex : ransonware = violation de données/ atteinte à la con dentialité (trouver des données sur
internet) et à l’intégrité avec la modi cation des infos (hôpital changement de traitement cancer)
Faut que les données soient dispo aussi (ex : banque accès indisponible à l’espace client)

> Noti cation des violations des données : entreprise qui a perdu des données ou exposé des
données de clients doit informer autorité de contrôle qui a un pouvoir de sanction.

> accountability : obligation d’apporter la preuve. C’est un renversement de la charge de la

preuve. C’est plus a l’autorité de contrôle de montrer que entreprise est pas conforme, c’est à
l’entreprise de montrer qu’elle est conforme

> obligation de désigner un data protection o cer : certaines entreprises ont l’obligation de
l’avoir. En France ça concerne les entreprises publiques.

ACCOUNTABILITY , DATA PROTECTION (p.44)

C’est un principe transverse : traverse toute la règlementation et c’est une nouveauté.

C’est un principe de responsabilité : je suis responsable de traitement je dois être en mesure de
montrer que je respecte la règlementation. Donc c’est une exigence de preuve importante.
A la base c’est un concept ancien (lignes directrices de OCDE 1980)
Les entreprises sont LIBRES de dé nir elles memes les procédures qu’elles mettent en place
mais faut assurer qu’elles sont e caces et faut montrer à l’autorité de contrôle que c’est e cace.
> donc moins de formalisme mais d’un autre coté faut convaincre autorité que ça permet d’être
conforme.

Critères a prendre en compte pour la dé nition des mesures d’accountability

4 facteurs :
— état des connaissances : code à usage unique (OTP) par exemple
— les couts de mise en oeuvre
— la nature, la portée, le contexte et les nalités du traitement
— les risques pour les droits et libertés des personnes (est ce que on expose ou pas la vie privée
des personnes ou pas - ex Cdiscount)

Les composantes de l’accountability (p.47)

Principe transverse :
> privacy by design / default :

6 sur 10
fi
fi
fi
ffi
fi
fi
fi
fi
fi
fi
ffi
fi
ffi
fi
 DESIGN : idée est de prendre en compte les règles de protection de la vie privée dès la
conception du produit ou du service.
DEFAULT : ne pas activer les paramètres qui peuvent avoir un impact plus important sur la vie
privée

Les 7 principes du Privacy by design : cf diapo

> registre des activités de traitements : idée est de décrire touts les traitements de données
mis en place dans la structure. Avant c’était des formalités préalables auprès de la CNIL et mtn
c’est fait en interne. (Gros sytème d’information, shadow IT)
On y met quoi ?
- des infos admin : nom, coordonnées du responsable de traitement , le co RT, du représentant
s’il y en a un, du DPO si y en a un
- Des infos sur les traitements de données : faut les décrire > nalité du traitement (si on gère
des plannings , des attestations de présence, RH, prospection commerciale > c’est savoir à
quoi ça sert)
- Les personnes concernées et quelles sont les données : clients, prospects, étudiants,
utilisateurs dont on doit trouver les données dans le chier. Et quelles sont les données (nom,
prénom, adresse mail). Ça obéit à un principe de « minimisation » CAD on se contente du strict
minimum.
- La catégorie de destinataire
- Les transfert de données : pas forcément, elles peuvent être enregistrées.
- Les durées de conservation : combien de temps l’info va être conservée + comment dé nir
cette durée (durée limitée)
- Mesures de sécurité techniques et organisationnelles

(P51) Les modalités de tenue du registre

C’est un document écrit, y compris sous une forme électronique.
Il est mis à disposition de l’autorité de contrôle sur demande.
Il est obligatoire sauf exception pour les entreprises de moins de 250 salariés. Mais exception à
l’exception :
— si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes
— si le traitement porte sur des données sensibles (ex : médecin qui traite des données sensibles)
— si le traitement n’est pas exceptionnel

Le registre en pratique (p.52)

— Dé nir les rôles et responsabilités de qui va devoir alimenter ce doc + comment.
— Les templates (faut que le process soit dé nit de façon à ce que soit clair et transparent pour
un interlocuteur externe qui en prendrait connaissance comme par exemple l’autorité de contrôle
qui est extérieure à l’entreprise. Ainsi, le doc doit être clair)
— le vocabulaire utilisé

La documentation de l’intérêt légitime — rappel sur la notion de base légale

—> y a 6 fondements / principes de protection des données
— obligation légale
— le contrat (commande en ligne, contrat entre le commerçant / entreprise et moi)
— intérêt vital
— intérêt public pour les organismes chargés d’une mission de service public
— intérêt légitime du responsable de traitement
NB : faut documenter l’intérêt légitime : justi er le pq du comment dans ce contexte là on utilise
interêt légitime et est ce que existe un équilibre entre intérêt légitime entreprise et droits des
personnes

> analyse d’impact (AIPD) : vaut pour les traitement à risque, qui peuvent avoir un impact pour
les personnes concernées (ex: traitement d’exclusion, d’impayé - Cdiscount)
Pour ces traitements on a dit que c’était pas su sant de les mettre dans le registre mais qu’il
fallait faire une analyse plus importante : analyse d’impact.
Pour quels traitements ? 3 cibles de traitement qui doivent faire l’objet de cette analyse :

7 sur 10
fi
fi
fi
ffi
fi
fi
fi
 — évaluation systématique et approfondie d’aspects personnels relatifs à la personne : on
va prédire quel est votre rendement au travail, si vous avez remboursé ou non crédit, est ce que
votre transaction est frauduleuse ou pas…
Ces traitements sont considérés comme risqués
—traitement à grande échelle de données sensibles : hôpital qui va traiter des données de
santé. La grande échelle n’est pas dé ni (pas certain nombre de patients par exemple) : c’est
plutôt lié au caractère systématique du traitement (est ce que l’ensemble des personnes font
l’objet de ce traitement là)
— surveillance à grande échelle zone accessible au public : cas des CCTV. Problème du souci
« grande échelle » : les autorités du contrôle disent que ça dépend du caractère systématique du
traitement (est ce que dans château de Versailles vous êtes tout le temps lmé).
— liste publiée par l’autorité de contrôle : va lister ces traitements (traitement de données de
santé, traitement des pro ls de personnes physiques à des ns de gestion des RH etc.)
NB : chaque autorité à sa liste > cf liste des autorités de contrôle : exemple de la CNIL p.57
Lignes directrices du CEPD et les 9 critères (.56)
Pour aider les entreprises à ID ces traitements, le CEPD (regroupement des autorités de contrôle
UE) a dé ni critères :
— évaluation et scoring : à partir du moment où notation
— décision automatisée produisant des e ets juridiques
— surveillance systématique
— données sensibles / hautement personnel
— données à grande échelle
— croisements ou combinaisons de données : mixer des bases de données
— données sur des personnes vulnérables
— utilisation innovante ou application de nouvelles solutions
—traitements qui empêchent l’exo d’un droit : ex > prise de décision automatisée (CV)
A partir du moment ou traitement répond à 2 critères au moins faut faire une analyse
d’impact

Le contenu de l’analyse d’impact

— d’abord décrire le traitement (minimiser, base légale, documenté)
— évaluation de la nécessité
— évaluation des risques pour les droits et libertés des personnes : (ex : véhicules atteinte à la
liberté de circuler donc pour limiter on regarde que le point de destination et pas besoin de
regarder tout le trajet e ectué)
— mesures pour réduire les risques : minimisation des données, stocker moins longtemps les
données, mesures de transparence accrues en donnant le choix aux utilisateurs
Ensuite deux options :
— si risques atténués : mise en place du traitement
— si risque encore élevé : solliciter autorité de contrôle > obligation de répondre sous 8 (+6)
semaines si demande complexe

Cf process global p.62

> gestion des sous traitants : pour s’assurer que le sous traitant impose le même niveau
d’exigence que l’entreprise
> transferts
> gestion des violations : la notion des violations de données : tout ce qui peut avoir pour
conséquence une perte de données (destruction, altération). Dès que violation, faut la
documenter :
— soit violation susceptible d’entraîner risques pour droits et libertés des personnes : faut
informer autorité de contrôle
— haut risque : aFable de traitement.

LES TRANSFERTS DE DONNÉES HORS EEE (p.63)

> décision d’adéquation : autorité de contrôle évolue le niveau de protection des données des
pays tiers pour voir si c’est adéquate.
8 sur 10
fi
ff
fi
fi
ff
fi
fi
 La CE publie un acte et considère que le pays o re un niveau de protection adéquation, dans ce
cas transfert de données possibles.
> si pas de décisions d’adéquation : outils multilatéraux

SÉCURITÉ ET CONFIDENTIALITÉ (p.65)

B. Obligations des RT non établis en Europe

P.76 : Les obligations sont les mêmes mais au lieu de désigner un DPO, on désigne un
représentant donc pas la même mission. Désignation dans un état membre où sont établis les
personnes visées par le traitement des données.

La notion de représentant : moins de critères d’expérience et compétences. Juste doit recevoir un

mandat écrit de la part du RT.

Ses missions :
- il est le point de contact des autorités de contrôle : liaison entre entreprise et l’autorité
- Interlocuteur des personnes concernées
- Va tenir les registres des traitements mis en oeuvre par le RT en UE
- Noti e les violation de données

Contenu du mandat (p.78)

LE DROIT DES PERSONNES CONCERNÉES

Intro
On entend « droit de la responsabilité ». Ce ne sont pas des droits réels ≠ cessibles (pas de droit
de propriété sur les données personnelles).
Le règlement ne s’applique pas aux personnes décédées en principe : les héritiers ne peuvent
pas exo ces droits.
Mais on a considéré qu’un défunt pouvait donner des instructions et dire si telle ou telle personne
peut avoir accès aux données.

De quels droits on parle ?

— obligation de transparence : faut que les personnes concernées soient informées des
traitements qui les concernent
— un droit d’accès : on peut interroger n’importe quel RT pour savoir si il traite de données qui
nous concernent et quelles sont ces données
— un droit de recti cation et e acement : le droit au déréferencement > supprimer des
résultats du moteur de recherches des personnes concernées.
Forme de droit à l’oubli car le résultat / info n’apparait plus dans le moteur de recherche pour
protéger vie pv de l’individu mais en même temps on protège la liberté de la presse.
> donc droit de déférencement est un équilibre (périmètre européen)
Mais au titre de RGPD, on a droit au réel droit d’e acement
Recti cation : faut une erreur
E acement : y a des conditions
— droit à la limitation
— droit à la portabilité : idée est de passer d’un service provider à un autre : demander à un RT
(ex banque) d’envoyer les données à un tiers.
— droit d’opposition
- pro lage : le règlement met en place des dispositions qui veulent à ce que mettent pas en place
des pro lages cachés ou susceptibles d’avoir un impact signi catif

9 sur 10
ff
fi
fi
fi
fi
fi
ff
ff
ff
fi
 TRANSPARENCE : toutes les infos communiquées aux personnes concernées doit se baser sur
ce principe.
Par exemple quand demande de droit d’accès, Faut lui traduire dans un langage intelligible, y
compris pour un nom pro.
Faut répondre le plus vite possible et 1 mois max.
Quand demande complexe : 2 mois supp
Si la personne a écrit sous forme électronique, faut répondre de la même manière.

Les caractéristiques de la transparence

— l’info doit être concise, transparente et compréhensible : si le site est accessible au mineur il
faut qu’il soit compréhensible par le mineur aussi.
Infos à communiquer : cf diapo (p.7)
—aisément accessible
+ ajouter des icônes

LE DROIT D’ACCÈS
> la personne a le droit d’obtenir la con rmation que des données la concernant sont utilisées.

DROIT DE RECTIFICATION :
Erreur et le client demande une recti cation des données perso. Faut justi er que les infos ne sont
pas exactes, dans les meilleurs délais.

DROIT À L’EFFACEMENT / DROIT À L’OUBLI

Droit conditionné :
> 1er critère : dans l’hypothèse ou les données ne sont plus nécessaires au regard de la nalité.
On a atteint la durée de conservation de l’info justi ée au vue de la nalité du traitement.
> 2e cas : la personne concernée retire son consentement
> 3e cas : la personne concernée s’oppose au traitement (droit d’opposition)
> 4e cas : le traitement est illicite (violation de données)
> 5e cas : une obligation légale impose l’e acement
> 6e cas : collecte dans le cadre de l’o re de services de la société de l’information : seul cas ou
le droit à l’e acement est vraiment autonome (contrairement aux autres où la personne doit exo
son droit de retrait ou d’opposition).

DROIT A LA PORTABILITÉ : la personne a le droit de récupérer les infos qui la concerne dans un
format électronique. Elle peut également demander à ce que les données soient transmises d’un
responsable de traitement à un autre
> conditions :
— données que LA PERSONNE A FOURNI
— traitement AUTOMATISÉ
— fondement CONSENTEMENT, EXÉCUTION D’UN CONTRAT

DROIT D’OPPOSITION : de droit

> la personne concernée peut s’opposer à tout moment à un traitement qui la concerne pour des
motifs tenant à sa situation particulières
Ça ne s’applique pas a tous les traitements (si c nécessaire à l’exécution d’un contrat, si
obligation légale) etc : pourra pas demander opposition

PROFILAGE : ajrd interdiction de prendre une décision individuelle automatisée produisant des
e ets à l’égard des personnes concernées (sauf si on a demander consentement ou si c
nécessaire a exécution du contrat et même comme ça faudra avoir la possibilité de demander des
explications, de la transparence)

Les limitations : le RGPD o re la possibilité aux états membres de limiter l’exo de ces droits
(raisons : sécu nationale, sureté publique, santé publique, SS etc.)

10 sur 10
ff
ff
ff
fi
fi
ff
ff
fi
fi
fi
fi