Retour aux cours de Droit
Droit - Terminale STMG

Droit du Numérique et RGPD

Objectifs du chapitre : Comprendre le cadre juridique de la protection des données personnelles (RGPD), identifier les droits des personnes concernées, les obligations des entreprises et les sanctions applicables.

Introduction

Le RGPD (Règlement Général sur la Protection des Données) est le texte de référence en matière de protection des données personnelles en Europe depuis le 25 mai 2018. Ce règlement européen s'applique directement dans tous les États membres et impose des obligations strictes aux entreprises tout en conférant des droits importants aux citoyens.

Définition - Donnée personnelle (art. 4 RGPD) :

"Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, numéro, identifiant, données de localisation, identifiant en ligne...)."

Attention au BAC !

Connaître les 6 droits des personnes (accès, rectification, effacement, portabilité, opposition, limitation) et les sanctions (jusqu'à 4% du CA mondial). Savoir citer des exemples d'amendes réelles (Google, Meta, Amazon).

1. Les Principes Fondamentaux du RGPD

1.1 Les 6 principes du traitement (Article 5)

Principes de l'article 5 RGPD

  • Licéité, loyauté, transparence : base légale obligatoire, information claire des personnes
  • Limitation des finalités : but déterminé, explicite et légitime
  • Minimisation : collecter uniquement les données nécessaires
  • Exactitude : données à jour et correctes
  • Limitation de conservation : durée proportionnée au but
  • Intégrité et confidentialité : protection contre les accès non autorisés

1.2 Les bases légales du traitement (Article 6)

Pour traiter des données personnelles, l'entreprise doit s'appuyer sur l'une des 6 bases légales :

Consentement

Accord libre, spécifique, éclairé et univoque de la personne.

Ex : case à cocher pour la newsletter

Contrat

Traitement nécessaire à l'exécution d'un contrat.

Ex : adresse de livraison pour une commande

Obligation légale

Traitement imposé par la loi.

Ex : conservation des factures 10 ans

Intérêt légitime

Intérêt de l'entreprise sauf si droits de la personne prévalent.

Ex : sécurité informatique, prospection B2B

2. Les Droits des Personnes

2.1 Les 6 droits fondamentaux

1. Droit d'accès (art. 15)

Obtenir une copie de ses données et savoir comment elles sont utilisées.

2. Droit de rectification (art. 16)

Corriger des données inexactes ou incomplètes.

3. Droit à l'effacement (art. 17)

"Droit à l'oubli" : demander la suppression de ses données.

4. Droit à la portabilité (art. 20)

Récupérer ses données dans un format réutilisable.

5. Droit d'opposition (art. 21)

S'opposer au traitement (notamment marketing direct).

6. Droit à la limitation (art. 18)

Geler temporairement le traitement de ses données.

Jurisprudence - Google et le droit à l'oubli (CJUE, 2014) :

L'arrêt Google Spain de la Cour de Justice de l'UE a consacré le droit à l'oubli : un citoyen espagnol a obtenu le déréférencement de liens vers des articles anciens le concernant. Google doit traiter les demandes de déréférencement et supprimer les résultats non pertinents.

3. Les Obligations des Entreprises

3.1 Les obligations organisationnelles

Obligations principales

  • Désigner un DPO (Délégué à la Protection des Données) si traitement à grande échelle ou données sensibles
  • Tenir un registre des activités de traitement (art. 30)
  • Réaliser des analyses d'impact (PIA/AIPD) pour les traitements à risque (art. 35)
  • Notifier les violations à la CNIL sous 72h (art. 33)
  • Obtenir le consentement explicite et éclairé pour certains traitements
  • Informer les personnes de manière transparente (art. 13-14)

3.2 La sécurité des données

L'article 32 impose des mesures techniques et organisationnelles appropriées : chiffrement, pseudonymisation, contrôle d'accès, sauvegardes, tests réguliers...

Exemple - Doctolib :

La plateforme de santé a désigné un DPO, chiffre toutes les données médicales de bout en bout, et permet aux patients d'exercer tous leurs droits RGPD directement via leur compte (télécharger ses données, demander la suppression, etc.).

4. Les Sanctions

4.1 Les deux niveaux de sanctions (Article 83)

NiveauMontant maximumViolations concernées
Niveau 110 millions euros ou 2% du CA mondialViolations techniques : registre, DPO, notification, sécurité
Niveau 220 millions euros ou 4% du CA mondialViolations des droits : principes, droits des personnes, transferts

4.2 Les amendes record

EntrepriseAnneeAmendeMotif
Meta (Ireland)20231,2 milliard eurosTransferts de données vers les USA
Amazon (Luxembourg)2021746 millions eurosPublicité ciblée sans consentement
Meta (Ireland)2023390 millions eurosBase légale insuffisante pour la pub
Google (France)202290 millions eurosCookies non conformes sur YouTube
Google (France)201950 millions eurosManque de transparence, consentement invalide

Attention au BAC !

Retenez au moins 2-3 exemples d'amendes avec les montants et les motifs. Cela montre que vous maîtrisez le sujet et pouvez illustrer vos réponses avec des cas concrets.

5. La CNIL et le Contrôle

5.1 Rôle de la CNIL

La Commission Nationale de l'Informatique et des Libertés est l'autorité de contrôle française. Créée en 1978 par la loi Informatique et Libertés, elle veille au respect du RGPD en France.

Les 4 missions de la CNIL

  • Informer : conseiller les entreprises et les citoyens sur leurs droits et obligations
  • Controler : vérifier le respect du RGPD (contrôles sur place, en ligne, sur pièces)
  • Sanctionner : prononcer des amendes et des injonctions
  • Accompagner : aider l'innovation avec des outils (bac à sable, référentiels, guides)

5.2 Les pouvoirs de la CNIL

Avertissement

Rappel à l'ordre sans sanction financière.

Mise en demeure

Obligation de se mettre en conformité sous délai.

Sanction pécuniaire

Amende jusqu'à 20M euros ou 4% du CA mondial.

6. Les Données Sensibles et Cas Particuliers

6.1 Les données sensibles (Article 9)

Certaines catégories de données bénéficient d'une protection renforcée et leur traitement est en principe interdit, sauf exceptions limitatives :

Données sensibles (traitement interdit sauf exception)

  • Origine raciale ou ethnique
  • Opinions politiques, convictions religieuses ou philosophiques
  • Appartenance syndicale
  • Données génétiques ou biométriques
  • Données de santé
  • Vie sexuelle ou orientation sexuelle

6.2 Les transferts hors UE

Les transferts de données vers des pays hors UE sont encadrés (art. 44-49). Le pays destinataire doit offrir un niveau de protection adéquat ou des garanties appropriées doivent être mises en place.

Affaire Schrems II (CJUE, 2020) :

La Cour de Justice de l'UE a invalidé le Privacy Shield, l'accord permettant les transferts de données vers les USA. Motif : la surveillance de masse américaine est incompatible avec les droits fondamentaux européens. Cette décision a forcé Meta à payer 1,2 milliard d'euros d'amende en 2023.

À retenir pour le BAC

  • RGPD = reglement europeen depuis 2018, applicable a tous les traitements de donnees personnelles
  • 6 droits des personnes : accès, rectification, effacement, portabilité, opposition, limitation
  • 6 principes : licéité, finalité, minimisation, exactitude, conservation limitée, sécurité
  • Sanctions : jusqu'à 4% du CA mondial ou 20 millions d'euros
  • CNIL = autorite francaise de controle et de sanction

Quiz - Testez vos connaissances

Question 1 :

Une entreprise collecte votre adresse e-mail pour vous envoyer des newsletters sans votre accord. Quel droit pouvez-vous exercer ?

Voir la réponse

Le DROIT D'OPPOSITION (article 21 RGPD). Vous pouvez vous opposer à tout moment au traitement de vos données à des fins de prospection commerciale. L'entreprise doit cesser immédiatement de vous envoyer des newsletters. Vous pouvez aussi exercer votre DROIT À L'EFFACEMENT (art. 17) pour faire supprimer votre e-mail.

Question 2 :

Amazon a été condamnée à 746 millions d'euros en 2021. Pour quelle violation du RGPD ?

Voir la réponse

Amazon a été condamnée pour avoir pratiqué de la PUBLICITÉ CIBLÉE SANS CONSENTEMENT VALABLE des utilisateurs. L'entreprise utilisait les données personnelles pour personnaliser les publicités sans avoir obtenu un consentement libre, spécifique, éclairé et univoque comme l'exige l'article 7 du RGPD.

Question 3 :

Une entreprise subit une cyberattaque et des données clients sont volées. Que doit-elle faire selon le RGPD ?

Voir la réponse

Elle doit NOTIFIER LA CNIL DANS LES 72 HEURES suivant la découverte de la violation (article 33 RGPD). Si la violation présente un risque élevé pour les personnes concernées, elle doit également INFORMER DIRECTEMENT LES PERSONNES (article 34). Le non-respect de cette obligation peut entraîner une amende de niveau 1 (10M euros ou 2% du CA).