Points clés à retenir

1Le RGPD est applicable depuis le 25 mai 2018 ; il s'applique directement dans tous les États membres sans transposition.
2Le régime des déclarations préalables à la CNIL est supprimé depuis 2018 ; il est remplacé par le principe d'accountability (art. 5§2 RGPD) : tenue d'un registre et démonstration de la conformité.
3Il existe six bases légales pour traiter des données (art. 6 RGPD) ; le consentement n'est pas la seule base légale valide.
4Les données sensibles (art. 9 RGPD) sont soumises à un régime d'interdiction de principe, sauf exceptions limitées.
5Le DPO est obligatoire pour les organismes publics, les traitements à grande échelle de données sensibles, et la surveillance systématique à grande échelle (art. 37 RGPD).
6Les personnes concernées disposent de huit droits (ARELIPOD) ; le délai de réponse est d'un mois.
7Les amendes RGPD comportent deux niveaux : jusqu'à 10 M€ / 2 % du CA (niveau 1) et jusqu'à 20 M€ / 4 % du CA (niveau 2).
8Tout transfert de données hors UE est soumis à des garanties spécifiques (décision d'adéquation, CCT, BCR).

Le Droit du Numérique

Introduction

La transformation numérique de l'économie a engendré un corpus juridique spécifique, en constante évolution, qui s'impose à toutes les organisations. Pour le comptable-gestionnaire, maîtriser le droit du numérique est indispensable : gestion des données clients et fournisseurs, télétravail, facturation électronique, archivage numérique, sous-traitance informatique — autant de situations quotidiennes qui mobilisent ces règles.

Le droit du numérique articule plusieurs sources normatives : le droit de l'Union européenne (RGPD, directives NIS 2), le droit français (loi Informatique et Libertés modifiée, LCEN) et des normes sectorielles. Il repose sur un principe de responsabilisation (_accountability_) : les acteurs ne déclarent plus leurs pratiques à l'avance, mais doivent être en mesure de démontrer à tout moment leur conformité.

---

I. Le cadre général du droit des données personnelles

1.1 Les textes fondateurs

Texte	Nature	Date	Portée
---	---	---	---
Loi Informatique et Libertés	Loi française	1978, modifiée en 2018	Droit national, complète le RGPD
RGPD (UE 2016/679)	Règlement européen	Applicable le 25 mai 2018	Application directe dans tous les États membres
LCEN (loi n° 2004-575)	Loi française	21 juin 2004	Économie numérique, hébergeurs, e-commerce
Directive NIS 2 (UE 2022/2555)	Directive européenne	Décembre 2022	Cybersécurité des entités essentielles et importantes

> Articulation RGPD / Loi Informatique et Libertés : le RGPD est un règlement européen d'application directe. La loi Informatique et Libertés a été modifiée par la loi n° 2018-493 du 20 juin 2018 pour se mettre en conformité et exercer les marges de manœuvre nationales autorisées par le RGPD (ex. : âge du consentement des mineurs fixé à 15 ans en France).

---

1.2 La notion de donnée personnelle

Définition (art. 4§1 RGPD) : toute information se rapportant à une personne physique identifiée ou identifiable. Une personne est « identifiable » lorsqu'elle peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (nom, numéro, données de localisation, identifiant en ligne) ou à des éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Exemples en cabinet comptable : nom et adresse d'un client particulier, numéro de sécurité sociale d'un salarié, adresse IP d'un utilisateur du portail client, données bancaires d'un fournisseur.

#### Les données sensibles (art. 9 RGPD)

Certaines catégories de données font l'objet d'une protection renforcée et leur traitement est en principe interdit, sauf exceptions limitativement énumérées :

Origines raciales ou ethniques

Opinions politiques, convictions religieuses ou philosophiques

Appartenance syndicale

Données génétiques et biométriques aux fins d'identification unique

Données concernant la santé

Données concernant la vie sexuelle ou l'orientation sexuelle

> Application BTS CG : un cabinet qui gère la paie traite nécessairement des données de santé (arrêts maladie, invalidité) et des données syndicales (cotisations). Il doit donc justifier d'une exception légale (ici : exécution du contrat de travail, art. 9§2 b) RGPD) et mettre en place des mesures de sécurité renforcées.

---

II. Les principes fondamentaux du RGPD

2.1 Les sept principes de l'article 5 RGPD

Le mnémotechnique « LF-MEL-A » permet de retenir les sept principes :

Initiale	Principe	Contenu
---	---	---
L	Licéité, loyauté, transparence	Le traitement doit avoir une base légale ; la personne doit être informée
F	(Limitation des) Finalités	Les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes
M	Minimisation	Seules les données strictement nécessaires à la finalité peuvent être collectées
E	Exactitude	Les données doivent être exactes et tenues à jour
L	Limitation de la conservation	Les données ne peuvent être conservées au-delà de la durée nécessaire
A	(Intégrité et) confidentialité — sécurité	Protection contre le traitement non autorisé, la perte ou la destruction
A	Accountability (responsabilisation)	Le responsable de traitement doit pouvoir démontrer le respect de ces principes (art. 5§2)

> L'accountability (art. 5§2 RGPD) est la pierre angulaire du système post-2018. Elle remplace l'ancien régime de déclarations préalables à la CNIL, désormais supprimé. L'entreprise n'a plus à déclarer ses fichiers avant de traiter des données ; elle doit en revanche tenir un registre des traitements (art. 30 RGPD) et être en mesure de prouver sa conformité à tout contrôle.

---

2.2 Les bases légales du traitement (art. 6 RGPD)

Erreur fréquente à l'examen : croire que le consentement est la seule base légale. L'article 6 du RGPD en reconnaît six :

Base légale	Description	Exemple BTS CG
---	---	---
Consentement	La personne a donné son accord libre, éclairé, spécifique et univoque	Newsletter marketing avec case à cocher
Exécution d'un contrat	Traitement nécessaire à l'exécution du contrat avec la personne	Traitement de la paie d'un salarié
Obligation légale	Traitement imposé par la loi	Conservation des bulletins de paie (5 ans), déclarations fiscales
Sauvegarde des intérêts vitaux	Protection de la vie de la personne	Très rare en contexte professionnel
Mission d'intérêt public	Traitement effectué dans l'exercice de l'autorité publique	Administrations, services publics
Intérêts légitimes	Intérêt du responsable de traitement ou d'un tiers, sans prévalence des droits de la personne	Sécurité du réseau informatique interne

> Conséquence pratique : un cabinet comptable qui traite les données de ses clients salariés pour établir leurs bulletins de paie n'a pas besoin de leur consentement — la base légale est l'exécution du contrat de travail (et l'obligation légale pour les déclarations sociales). Demander un consentement inutile fragilise la conformité RGPD.

---

III. Les acteurs du traitement et leurs responsabilités

3.1 Le responsable de traitement et le sous-traitant (art. 4 et 28 RGPD)

Responsable de traitement (RT) : la personne physique ou morale qui détermine les finalités et les moyens du traitement. C'est lui qui supporte les obligations principales du RGPD.

Sous-traitant : la personne qui traite des données personnelles pour le compte du responsable de traitement. Il ne peut agir que sur instruction documentée du RT.

> Exemple typique en BTS CG : une PME (responsable de traitement) confie sa paie à un cabinet comptable (sous-traitant). Le cabinet doit conclure un contrat de sous-traitance RGPD (art. 28 RGPD) précisant la nature du traitement, sa durée, les mesures de sécurité, et l'obligation de ne pas sous-traiter sans autorisation préalable.

Conséquences pratiques :

Le RT choisit ses sous-traitants en veillant à leur conformité RGPD

Le sous-traitant ne peut utiliser les données à d'autres fins

En cas de violation, la responsabilité peut peser sur l'un ou l'autre selon les circonstances

Accède au cours complet gratuitement

Tableaux récapitulatifs, mnémotechniques, exercices corrigés, QCM et colle orale IA — tout est inclus.

S'inscrire gratuitement

Questions fréquentes

Qu'est-ce que le RGPD ?

Le RGPD est un règlement de l'Union Européenne qui protège les données personnelles des citoyens en imposant des règles strictes aux entreprises sur la collecte et le traitement de ces données.

Comment calculer les amendes en cas de non-respect du RGPD ?

Les amendes peuvent atteindre 4 % du chiffre d'affaires mondial de l'entreprise ou 20 millions d'euros, selon le montant le plus élevé.

Quelle est la différence entre le droit à l'oubli et le droit d'accès ?

Le droit à l'oubli permet de demander la suppression de ses données, tandis que le droit d'accès permet de consulter les données que l'on détient sur soi.

Pourquoi la cybersécurité est-elle importante pour les entreprises ?

La cybersécurité est cruciale pour protéger les informations sensibles des entreprises et éviter les pertes financières dues aux violations de données et aux cyberattaques.

Autres chapitres — CEJM — Thème 4 : L'impact du numérique

L'économie numérique et les plateformes La protection des données personnelles (RGPD)La transformation numérique de l'entreprise Les systèmes d'information et ERP La cybersécurité en entreprise

Prêt à réviser ton BTS Communication ?

QCM illimités, colle orale IA, flashcards et bien plus — 100% gratuit.

Commencer à réviser