Aller au contenu

Chapitre : Politique de collecte de données personnelles et RGPD/CNIL

Objectifs pédagogiques et attendus

Compétences visées

D'après le référentiel BTS SIO Bloc 3, voici les attendus pour ce chapitre :

1.1 La législation applicable

  • Connaître le RGPD (Règlement Général sur la Protection des Données)
  • Date d'entrée en vigueur : 25 mai 2018
  • Portée territoriale et champ d'application

  • Objectifs et principes fondamentaux

  • Identifier le rôle de la CNIL

  • Mission et pouvoirs
  • Sanctions possibles
  • Procédures de contrôle

1.2 Les acteurs de la protection des données

  • Responsable de traitement : définition, obligations, responsabilités
  • Sous-traitant : rôle et obligations
  • DPO (Délégué à la Protection des Données) : missions, désignation obligatoire
  • Personne concernée : droits et recours

2. Les principes fondamentaux du RGPD

2.1 Les 6 principes clés

  • Licéité, loyauté, transparence
  • Limitation des finalités
  • Minimisation des données
  • Exactitude des données
  • Limitation de la conservation
  • Intégrité et confidentialité

2.2 Accountability (responsabilité)

  • Principe de responsabilisation
  • Documentation obligatoire
  • Preuves de conformité

3. Les bases légales du traitement

3.1 Les 6 bases légales

  • Consentement de la personne concernée
  • Exécution d'un contrat
  • Obligation légale
  • Sauvegarde des intérêts vitaux
  • Mission d'intérêt public
  • Intérêt légitime

3.2 Le consentement

  • Définition et critères (libre, spécifique, éclairé, univoque)
  • Modalités de recueil
  • Retrait du consentement

4. Les droits des personnes concernées

4.1 Droits d'information et d'accès

  • Droit à l'information : mentions obligatoires
  • Droit d'accès : procédure et délais

4.2 Droits de rectification et d'opposition

  • Droit de rectification : correction des données inexactes
  • Droit d'opposition : motifs légitimes

4.3 Droits à l'effacement et à la limitation

  • Droit à l'effacement ("droit à l'oubli")
  • Droit à la limitation du traitement

4.4 Droits à la portabilité et post-mortem

  • Droit à la portabilité : conditions et modalités
  • Droits relatifs aux décisions automatisées
  • Sort des données après le décès

5. Les obligations du responsable de traitement

5.1 Documentation et registres

  • Registre des activités de traitement
  • Contenu obligatoire

  • Tenue et mise à jour

  • Documentation de la conformité

  • Politiques de protection des données
  • Procédures internes

5.2 Analyse d'impact (PIA/AIPD)

  • Quand réaliser une AIPD ?
  • Traitements à risque élevé

  • Critères de la CNIL

  • Contenu d'une AIPD

  • Description du traitement
  • Évaluation des risques
  • Mesures de protection

5.3 Notification des violations

  • Obligation de notification à la CNIL : délai de 72h
  • Communication aux personnes concernées : conditions
  • Documentation des violations

6. Sécurité et protection des données

6.1 Mesures techniques

  • Pseudonymisation et chiffrement
  • Contrôle d'accès et authentification
  • Sauvegardes et restauration
  • Protection réseau et pare-feu

6.2 Mesures organisationnelles

  • Politique de sécurité
  • Sensibilisation et formation du personnel
  • Gestion des incidents
  • Clauses de confidentialité

6.3 Privacy by design et by default

  • Privacy by design : intégration dès la conception
  • Privacy by default : paramétrage par défaut

7. Transferts de données hors UE

7.1 Encadrement des transferts

  • Pays à niveau de protection adéquat
  • Garanties appropriées (BCR, clauses contractuelles types)
  • Dérogations pour situations spécifiques

7.2 Cas particuliers

  • Transferts vers les États-Unis (Data Privacy Framework)
  • Cloud computing et hébergement de données

8. Cas pratiques et applications

8.1 Politique de confidentialité

  • Rédaction d'une politique de confidentialité
  • Mentions d'information obligatoires
  • Accessibilité et compréhensibilité

8.2 Gestion des cookies

  • Consentement pour les cookies
  • Bandeau cookies conforme
  • Configuration et durée de conservation

8.3 Formulaires de collecte

  • Conception conforme au RGPD
  • Champs obligatoires vs facultatifs
  • Cases à cocher pré-cochées (interdites)

9. Contrôles et sanctions

9.1 Contrôles de la CNIL

  • Types de contrôles (sur place, en ligne, sur pièces)
  • Déroulement d'un contrôle
  • Droits et obligations lors d'un contrôle

9.2 Sanctions possibles

  • Avertissement et mise en demeure
  • Sanctions pécuniaires (jusqu'à 20M€ ou 4% du CA)
  • Sanctions pénales
  • Exemples de sanctions prononcées

10. Études de cas

10.1 Cas d'entreprise

  • Mise en conformité d'une TPE/PME
  • Gestion d'un incident de sécurité
  • Réponse à l'exercice de droits

10.2 Secteurs spécifiques

  • E-commerce et marketing digital
  • Ressources humaines
  • Santé et données sensibles
  • Éducation et établissements scolaires

Compétences techniques à maîtriser

Pour l'examen et la vie professionnelle

  1. Savoir rédiger :
  2. Une politique de confidentialité
  3. Une procédure de gestion des droits
  4. Un registre de traitement

  5. Une notice d'information

  6. Savoir analyser :

  7. La conformité d'un traitement
  8. Les risques liés à un traitement

  9. Un contrat de sous-traitance

  10. Savoir mettre en œuvre :

  11. Des mesures de sécurité appropriées
  12. Une procédure de notification de violation

  13. Un processus de recueil du consentement

  14. Savoir conseiller :

  15. Sur le choix d'une base légale
  16. Sur les obligations du responsable de traitement
  17. Sur la nécessité d'une AIPD

Ressources officielles

  • Site de la CNIL : https://www.cnil.fr
  • Texte du RGPD : https://eur-lex.europa.eu
  • Guide pratique de la CNIL pour les développeurs
  • Modèles de documents (registre, mentions d'information, etc.)

Mots-clés à connaître

RGPD, CNIL, Données personnelles, Données sensibles, Responsable de traitement, Sous-traitant, DPO, Consentement, Base légale, Finalité, Minimisation, Registre des traitements, AIPD/PIA, Privacy by design, Privacy by default, Violation de données, Droit d'accès, Droit à l'effacement, Droit à la portabilité, Pseudonymisation, Chiffrement, Accountability