Objectifs du chapitre : Comprendre le cadre juridique de la protection des donnees personnelles (RGPD), identifier les droits des personnes concernees, les obligations des entreprises et les sanctions applicables.
Introduction
Le RGPD (Reglement General sur la Protection des Donnees) est le texte de reference en matiere de protection des donnees personnelles en Europe depuis le 25 mai 2018. Ce reglement europeen s'applique directement dans tous les Etats membres et impose des obligations strictes aux entreprises tout en conferant des droits importants aux citoyens.
Definition - Donnee personnelle (art. 4 RGPD) :
"Toute information se rapportant a une personne physique identifiee ou identifiable, directement ou indirectement (nom, numero, identifiant, donnees de localisation, identifiant en ligne...)."
Attention au BAC !
Connaitre les 6 droits des personnes (acces, rectification, effacement, portabilite, opposition, limitation) et les sanctions (jusqu'a 4% du CA mondial). Savoir citer des exemples d'amendes reelles (Google, Meta, Amazon).
1. Les Principes Fondamentaux du RGPD
1.1 Les 6 principes du traitement (Article 5)
Principes de l'article 5 RGPD
- Liceite, loyaute, transparence : base legale obligatoire, information claire des personnes
- Limitation des finalites : but determine, explicite et legitime
- Minimisation : collecter uniquement les donnees necessaires
- Exactitude : donnees a jour et correctes
- Limitation de conservation : duree proportionnee au but
- Integrite et confidentialite : protection contre les acces non autorises
1.2 Les bases legales du traitement (Article 6)
Pour traiter des donnees personnelles, l'entreprise doit s'appuyer sur l'une des 6 bases legales :
Consentement
Accord libre, specifique, eclaire et univoque de la personne.
Ex : case a cocher pour la newsletter
Contrat
Traitement necessaire a l'execution d'un contrat.
Ex : adresse de livraison pour une commande
Obligation legale
Traitement impose par la loi.
Ex : conservation des factures 10 ans
Interet legitime
Interet de l'entreprise sauf si droits de la personne prevalent.
Ex : securite informatique, prospection B2B
2. Les Droits des Personnes
2.1 Les 6 droits fondamentaux
1. Droit d'acces (art. 15)
Obtenir une copie de ses donnees et savoir comment elles sont utilisees.
2. Droit de rectification (art. 16)
Corriger des donnees inexactes ou incompletes.
3. Droit a l'effacement (art. 17)
"Droit a l'oubli" : demander la suppression de ses donnees.
4. Droit a la portabilite (art. 20)
Recuperer ses donnees dans un format reutilisable.
5. Droit d'opposition (art. 21)
S'opposer au traitement (notamment marketing direct).
6. Droit a la limitation (art. 18)
Geler temporairement le traitement de ses donnees.
Jurisprudence - Google et le droit a l'oubli (CJUE, 2014) :
L'arret Google Spain de la Cour de Justice de l'UE a consacre le droit a l'oubli : un citoyen espagnol a obtenu le dereferencement de liens vers des articles anciens le concernant. Google doit traiter les demandes de dereferencement et supprimer les resultats non pertinents.
3. Les Obligations des Entreprises
3.1 Les obligations organisationnelles
Obligations principales
- Designer un DPO (Delegue a la Protection des Donnees) si traitement a grande echelle ou donnees sensibles
- Tenir un registre des activites de traitement (art. 30)
- Realiser des analyses d'impact (PIA/AIPD) pour les traitements a risque (art. 35)
- Notifier les violations a la CNIL sous 72h (art. 33)
- Obtenir le consentement explicite et eclaire pour certains traitements
- Informer les personnes de maniere transparente (art. 13-14)
3.2 La securite des donnees
L'article 32 impose des mesures techniques et organisationnelles appropriees : chiffrement, pseudonymisation, controle d'acces, sauvegardes, tests reguliers...
Exemple - Doctolib :
La plateforme de sante a designe un DPO, chiffre toutes les donnees medicales de bout en bout, et permet aux patients d'exercer tous leurs droits RGPD directement via leur compte (telecharger ses donnees, demander la suppression, etc.).
4. Les Sanctions
4.1 Les deux niveaux de sanctions (Article 83)
| Niveau | Montant maximum | Violations concernees |
|---|---|---|
| Niveau 1 | 10 millions euros ou 2% du CA mondial | Violations techniques : registre, DPO, notification, securite |
| Niveau 2 | 20 millions euros ou 4% du CA mondial | Violations des droits : principes, droits des personnes, transferts |
4.2 Les amendes record
| Entreprise | Annee | Amende | Motif |
|---|---|---|---|
| Meta (Ireland) | 2023 | 1,2 milliard euros | Transferts de donnees vers les USA |
| Amazon (Luxembourg) | 2021 | 746 millions euros | Publicite ciblee sans consentement |
| Meta (Ireland) | 2023 | 390 millions euros | Base legale insuffisante pour la pub |
| Google (France) | 2022 | 90 millions euros | Cookies non conformes sur YouTube |
| Google (France) | 2019 | 50 millions euros | Manque de transparence, consentement invalide |
Attention au BAC !
Retenez au moins 2-3 exemples d'amendes avec les montants et les motifs. Cela montre que vous maitrisez le sujet et pouvez illustrer vos reponses avec des cas concrets.
5. La CNIL et le Controle
5.1 Role de la CNIL
La Commission Nationale de l'Informatique et des Libertes est l'autorite de controle francaise. Creee en 1978 par la loi Informatique et Libertes, elle veille au respect du RGPD en France.
Les 4 missions de la CNIL
- Informer : conseiller les entreprises et les citoyens sur leurs droits et obligations
- Controler : verifier le respect du RGPD (controles sur place, en ligne, sur pieces)
- Sanctionner : prononcer des amendes et des injonctions
- Accompagner : aider l'innovation avec des outils (bac a sable, referentiels, guides)
5.2 Les pouvoirs de la CNIL
Avertissement
Rappel a l'ordre sans sanction financiere.
Mise en demeure
Obligation de se mettre en conformite sous delai.
Sanction pecuniaire
Amende jusqu'a 20M euros ou 4% du CA mondial.
6. Les Donnees Sensibles et Cas Particuliers
6.1 Les donnees sensibles (Article 9)
Certaines categories de donnees beneficient d'une protection renforcee et leur traitement est en principe interdit, sauf exceptions limitatives :
Donnees sensibles (traitement interdit sauf exception)
- Origine raciale ou ethnique
- Opinions politiques, convictions religieuses ou philosophiques
- Appartenance syndicale
- Donnees genetiques ou biometriques
- Donnees de sante
- Vie sexuelle ou orientation sexuelle
6.2 Les transferts hors UE
Les transferts de donnees vers des pays hors UE sont encadres (art. 44-49). Le pays destinataire doit offrir un niveau de protection adequat ou des garanties appropriees doivent etre mises en place.
Affaire Schrems II (CJUE, 2020) :
La Cour de Justice de l'UE a invalide le Privacy Shield, l'accord permettant les transferts de donnees vers les USA. Motif : la surveillance de masse americaine est incompatible avec les droits fondamentaux europeens. Cette decision a force Meta a payer 1,2 milliard d'euros d'amende en 2023.
