📚 FICHE DE COURS ÉLÈVE

"Acteurs du RGPD · Responsabilités · Droits des Personnes"

Version 1.0 — BTS SIO SISR — Année 1 — Semaine 5

---

PARTIE IV — Les Acteurs Clés du RGPD

IV.A. La Personne Concernée

Définition : La personne physique dont les données sont traitées.

📋 Texte

   LA PERSONNE CONCERNÉE (Data Subject)
   ═══════════════════════════════════════════════════════════════

   C'est VOUS dans la plupart des situations :
   • Client d'un site e-commerce
   • Salarié d'une entreprise
   • Patient d'un médecin
   • Internaute naviguant sur un site web
   • Abonné à une newsletter

   DROITS FONDAMENTAUX (voir Partie VI)
   ──────────────────────────────────────────────────────────────
   Droit d'accès, rectification, effacement, portabilité,
   opposition, limitation...

---

IV.B. Le Responsable de Traitement (RT)

Définition (Article 4) :

"La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement."

En langage simple :

Le RT est celui qui décide POURQUOI et COMMENT les données sont utilisées.

📋 Texte

   QUI EST LE RESPONSABLE DE TRAITEMENT ?
   ═══════════════════════════════════════════════════════════════

   ① ENTREPRISE PRIVÉE
   ──────────────────────────────────────────────────────────────
   • E-commerce qui collecte données clients → L'entreprise (son dirigeant)
   • Employeur qui gère la paie des salariés → L'entreprise
   • Site web qui utilise des cookies → L'entreprise propriétaire

   ② ORGANISME PUBLIC
   ──────────────────────────────────────────────────────────────
   • Mairie qui gère les naissances → La mairie
   • Hôpital qui gère les dossiers patients → L'hôpital
   • École qui gère les notes → L'établissement

   ③ ASSOCIATION
   ──────────────────────────────────────────────────────────────
   • Club sportif gérant ses adhérents → L'association

   ④ AUTO-ENTREPRENEUR
   ──────────────────────────────────────────────────────────────
   • Plombier avec fichier clients → Lui-même

OBLIGATIONS du Responsable de Traitement :

📋 Texte

   7 OBLIGATIONS PRINCIPALES
   ═══════════════════════════════════════════════════════════════

   ① REGISTRE DES TRAITEMENTS
   ──────────────────────────────────────────────────────────────
   Documenter tous les traitements de données effectués :
   • Finalité, base légale, catégories de données
   • Destinataires, durée de conservation
   • Mesures de sécurité

   ② INFORMATION DES PERSONNES
   ──────────────────────────────────────────────────────────────
   Informer les personnes AVANT de collecter leurs données :
   • Qui traite ? Pourquoi ? Combien de temps ?
   • Quels droits ? Comment les exercer ?

   ③ BASES LÉGALES
   ──────────────────────────────────────────────────────────────
   Avoir une base légale pour chaque traitement
   (consentement, contrat, obligation légale...)

   ④ DROITS DES PERSONNES
   ──────────────────────────────────────────────────────────────
   Mettre en place les procédures pour répondre aux droits :
   • Réponse sous 1 mois (maximum)

   ⑤ SÉCURITÉ DES DONNÉES
   ──────────────────────────────────────────────────────────────
   Mesures techniques et organisationnelles adaptées

   ⑥ NOTIFICATION DES VIOLATIONS
   ──────────────────────────────────────────────────────────────
   En cas de fuite de données :
   → Notifier la CNIL sous 72 heures
   → Notifier les personnes si risque élevé

   ⑦ PRIVACY BY DESIGN / DEFAULT
   ──────────────────────────────────────────────────────────────
   Intégrer la protection des données dès la conception
   Paramètres les plus protecteurs par défaut

---

IV.C. Le Sous-Traitant

Définition (Article 4) :

"La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement."

En langage simple :

Le sous-traitant traite les données POUR LE COMPTE d'un autre (le RT), selon ses instructions.

📋 Texte

   EXEMPLES DE SOUS-TRAITANTS
   ═══════════════════════════════════════════════════════════════

   RESPONSABLE DE TRAITEMENT       SOUS-TRAITANT
   ────────────────────────        ───────────────

   E-commerce (vente en ligne) →  Hébergeur web (stocke les données)
   E-commerce                  →  Prestataire paiement (CB)
   E-commerce                  →  Transporteur (adresses livraison)

   Hôpital                     →  Éditeur de logiciel médical
   Hôpital                     →  Société d'archivage physique

   Entreprise RH               →  Cabinet de paie externalisé

   École                       →  Plateforme Pronote/ENT

Obligations spécifiques du sous-traitant :

📋 Texte

   ① CONTRAT OBLIGATOIRE avec le RT (Article 28)
   ──────────────────────────────────────────────────────────────
   Le sous-traitant doit avoir un contrat précisant :
   • Objet et durée du traitement
   • Nature et finalité du traitement
   • Mesures de sécurité requises
   • Obligation de confidentialité

   ② TRAITER UNIQUEMENT selon les instructions du RT
   ──────────────────────────────────────────────────────────────
   Le sous-traitant NE PEUT PAS utiliser les données
   pour ses propres fins

   ③ SOUS-SOUS-TRAITANCE
   ──────────────────────────────────────────────────────────────
   Si le sous-traitant fait appel à un autre prestataire,
   il doit obtenir l'accord écrit du RT.

---

IV.D. Le DPO (Data Protection Officer)

Délégué à la Protection des Données — en anglais DPO

Définition : Le DPO est le référent interne chargé de superviser la conformité RGPD d'une organisation.

📋 Texte

   MISSIONS DU DPO
   ═══════════════════════════════════════════════════════════════

   ① INFORMER et CONSEILLER
   ──────────────────────────────────────────────────────────────
   • Informer le RT et les salariés sur leurs obligations
   • Conseiller sur les traitements à risque

   ② CONTRÔLER la conformité
   ──────────────────────────────────────────────────────────────
   • Vérifier que les traitements respectent le RGPD
   • Auditer les pratiques internes
   • Tenir à jour le registre des traitements

   ③ INTERLOCUTEUR avec la CNIL
   ──────────────────────────────────────────────────────────────
   • Point de contact officiel avec l'autorité de contrôle
   • Notifier les violations de données
   • Répondre aux contrôles CNIL

   ④ RÉPONDRE aux demandes des personnes concernées
   ──────────────────────────────────────────────────────────────
   • Coordonner les réponses aux droits d'accès, effacement...

   ⑤ ANALYSE D'IMPACT (AIPD / PIA)
   ──────────────────────────────────────────────────────────────
   Réaliser ou superviser les Analyses d'Impact relatives
   à la Protection des Données pour les traitements à risque.

Qui doit avoir un DPO ?

📋 Texte

   DÉSIGNATION OBLIGATOIRE DU DPO (Article 37)
   ═══════════════════════════════════════════════════════════════

   ① Organisme PUBLIC
   ──────────────────────────────────────────────────────────────
   Toute autorité publique (mairie, hôpital, école publique,
   ministère, administration...)

   ② Traitement à grande échelle comme ACTIVITÉ PRINCIPALE
   ──────────────────────────────────────────────────────────────
   Exemple :
   • Application mobile qui traite des millions d'utilisateurs
   • Cabinet médical spécialisé gérant des milliers de dossiers santé

   ③ Surveillance systématique à grande échelle
   ──────────────────────────────────────────────────────────────
   Exemple :
   • Entreprise de monitoring/surveillance comportementale
   • Réseau de caméras couvrant toute une ville

   DÉSIGNATION FACULTATIVE (mais recommandée)
   ──────────────────────────────────────────────────────────────
   • PME avec traitements courants (gestion clients, RH...)
   • Associations gérant des données membres

   → Même si non obligatoire, avoir un DPO est une bonne pratique

Le DPO peut être : - Interne (salarié de l'organisation) - Externe (prestataire spécialisé) - Mutualisé (DPO partagé entre plusieurs organismes)

Statut particulier du DPO : - Ne peut pas être licencié ou sanctionné pour avoir exercé ses missions - Indépendance garantie (ne reçoit pas d'instructions sur ses missions)

---

IV.E. La CNIL

Commission Nationale de l'Informatique et des Libertés

📋 Texte

   PRÉSENTATION
   ═══════════════════════════════════════════════════════════════

   Création : 1978 (Loi Informatique et Libertés)
   Rôle : Autorité de contrôle française indépendante
   Président : Marie-Laure Denis (depuis 2019)
   Budget : 24 millions € (2023)
   Effectif : 250 agents
   Siège : Paris

Missions de la CNIL :

📋 Texte

   LES 5 MISSIONS DE LA CNIL
   ═══════════════════════════════════════════════════════════════

   ① INFORMER et CONSEILLER
   ──────────────────────────────────────────────────────────────
   • Guides pratiques (MOOC, fiches, outils)
   • Site web : cnil.fr
   • Ligne d'information téléphonique

   ② RÉGULER
   ──────────────────────────────────────────────────────────────
   • Publier des référentiels et recommandations
   • Certifier des formations DPO
   • Labelliser des produits conformes RGPD

   ③ CONTRÔLER
   ──────────────────────────────────────────────────────────────
   • Contrôles sur place (inspections)
   • Contrôles en ligne (audit de sites web)
   • Contrôles sur pièces (examen de documents)
   → 345 contrôles effectués en 2023

   ④ SANCTIONNER
   ──────────────────────────────────────────────────────────────
   Amendes pouvant atteindre :
   • 10 millions € ou 2% du CA mondial
   • OU 20 millions € ou 4% du CA mondial
   (le montant le plus élevé s'applique)

   ⑤ ANTICIPER
   ──────────────────────────────────────────────────────────────
   • Analyser les nouvelles technologies (IA, blockchain, IoT)
   • Recommandations proactives

Exemples de sanctions CNIL (France) :

Entreprise	Année	Faute	Amende
Google LLC	2022	Cookies non conformes	150 M€
Facebook	2022	Cookies non conformes	60 M€
Amazon	2021	Cookies déposés sans consentement	35 M€
Clearview AI	2022	Collecte illicite données biométriques	20 M€
Carrefour	2020	Manquements droits personnes, durées conservation	3 M€

---

PARTIE V — Droits des Personnes Concernées

📋 Texte

   LES 8 DROITS DU RGPD
   ═══════════════════════════════════════════════════════════════

   ① DROIT D'INFORMATION (Art. 13-14)
   ──────────────────────────────────────────────────────────────
   Être informé lors de la collecte : qui traite, pourquoi,
   combien de temps, quels droits.

   ② DROIT D'ACCÈS (Art. 15)
   ──────────────────────────────────────────────────────────────
   Obtenir une copie de toutes les données détenues sur soi.
   Réponse : 1 mois maximum

   ③ DROIT DE RECTIFICATION (Art. 16)
   ──────────────────────────────────────────────────────────────
   Corriger des données inexactes ou incomplètes.

   ④ DROIT À L'EFFACEMENT / "DROIT À L'OUBLI" (Art. 17)
   ──────────────────────────────────────────────────────────────
   Demander la suppression des données dans certains cas :
   • Données plus nécessaires pour la finalité initiale
   • Consentement retiré
   • Données collectées illicitement

   ⑤ DROIT À LA LIMITATION (Art. 18)
   ──────────────────────────────────────────────────────────────
   Suspendre temporairement l'utilisation des données
   (ex : pendant une vérification d'exactitude).

   ⑥ DROIT À LA PORTABILITÉ (Art. 20)
   ──────────────────────────────────────────────────────────────
   Récupérer ses données dans un format structuré et
   les transférer à un autre prestataire.
   Exemple : Exporter ses données Gmail vers Proton Mail

   ⑦ DROIT D'OPPOSITION (Art. 21)
   ──────────────────────────────────────────────────────────────
   S'opposer au traitement pour des raisons personnelles.
   Droit absolu pour la prospection commerciale.

   ⑧ DROIT DE NE PAS FAIRE L'OBJET D'UNE DÉCISION AUTOMATISÉE (Art. 22)
   ──────────────────────────────────────────────────────────────
   S'opposer aux décisions basées uniquement sur un traitement
   automatique (scoring crédit, recrutement algorithmique).

---

VI. Vocabulaire Clé

Terme	Définition
RGPD	Règlement Général sur la Protection des Données (UE, 2018)
Donnée personnelle	Toute information identifiant ou permettant d'identifier une personne physique
Donnée sensible	Catégorie spéciale (santé, origine ethnique, conviction religieuse, etc.) soumise à protection renforcée
Traitement	Toute opération sur des données : collecte, stockage, modification, consultation, transmission, effacement
Finalité	Objectif pour lequel les données sont collectées
Base légale	Fondement juridique autorisant un traitement (consentement, contrat, obligation légale...)
Responsable de traitement	Entité qui décide pourquoi et comment les données sont traitées
Sous-traitant	Entité qui traite des données pour le compte du RT
DPO	Data Protection Officer — délégué à la protection des données
CNIL	Commission Nationale de l'Informatique et des Libertés — autorité de contrôle française
Anonymisation	Modification irréversible rendant une personne non identifiable
Pseudonymisation	Remplacement des identifiants par un pseudonyme (réversible avec clé)
AIPD / PIA	Analyse d'Impact relative à la Protection des Données — évaluation des risques

---