La protection des données personnelles — Le RGPD

> Référentiel CEJM — Thème 5 : L'entreprise et le numérique
> Niveau : BTS (toutes spécialités) — Durée indicative : 3 heures

---

Introduction

La protection des données personnelles constitue l'un des enjeux juridiques majeurs de l'économie numérique. Toute organisation — entreprise, administration, association — qui collecte, traite ou conserve des informations relatives à des personnes physiques est soumise à un cadre réglementaire strict.

En France, cette protection repose sur deux piliers complémentaires :

• Le Règlement Général sur la Protection des Données (RGPD), texte européen d'application directe entré en vigueur le 25 mai 2018 (Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016) ;


• La loi française « Informatique et Libertés » du 6 janvier 1978, modifiée en dernier lieu par la loi du 20 juin 2018 pour être mise en conformité avec le RGPD.

Comprendre ce cadre est indispensable pour tout futur professionnel : le gestionnaire qui tient un fichier client, le comptable qui traite les données de paie, le responsable RH qui gère des dossiers de candidats — tous sont concernés au quotidien.

---

1. Historique et contexte réglementaire

1.1 Les origines : la loi « Informatique et Libertés » de 1978

La France a été pionnière en matière de protection des données. Dès 1978, la loi « Informatique et Libertés » posait le principe selon lequel « l'informatique doit être au service de chaque citoyen » et ne doit pas porter atteinte à la vie privée ni aux libertés individuelles. Cette loi a institué la CNIL (Commission Nationale de l'Informatique et des Libertés), autorité administrative indépendante chargée du contrôle.

1.2 La directive européenne 95/46/CE

À l'échelle européenne, la directive 95/46/CE du 24 octobre 1995 a constitué pendant plus de vingt ans le cadre commun de référence. Toutefois, ce texte présentait deux limites majeures :

• Son statut de directive impliquait une transposition nationale, générant des disparités entre États membres ;


• Il n'était plus adapté aux réalités du numérique (réseaux sociaux, cloud computing, big data, intelligence artificielle).

1.3 L'émergence du RGPD (2016-2018)

Le scandale Cambridge Analytica (2018) a cristallisé les craintes du public : les données personnelles de 87 millions d'utilisateurs Facebook avaient été collectées à leur insu et exploitées à des fins d'influence électorale (élection présidentielle américaine de 2016, référendum sur le Brexit). Cet épisode a illustré l'urgence d'une réglementation robuste.

Le Règlement UE 2016/679, adopté le 27 avril 2016 et applicable à compter du 25 mai 2018, remplace la directive de 1995. En tant que règlement européen, il s'applique directement et uniformément dans tous les États membres, sans transposition nationale.

Champ d'application territorial (art. 3 RGPD) : Le RGPD s'applique à tout organisme établi dans l'UE, mais aussi à tout organisme établi hors de l'UE dès lors qu'il traite des données de personnes résidant dans l'UE (principe d'extraterritorialité).

---

2. Les notions fondamentales

2.1 La donnée à caractère personnel

Selon l'article 4§1 du RGPD, une donnée à caractère personnel est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Sont ainsi considérées comme données personnelles : le nom, le prénom, l'adresse e-mail, le numéro de téléphone, une adresse IP, des données de localisation, un identifiant en ligne, une photo, etc.

> ⚠️ Important : Le RGPD ne protège que les données relatives à des personnes physiques. Les données relatives à des personnes morales (sociétés, associations) n'entrent pas dans son champ d'application.

2.2 Les données sensibles (art. 9 RGPD)

L'article 9 du RGPD établit une liste limitative de catégories de données dites « sensibles », dont le traitement est en principe interdit, sauf exceptions prévues par le texte :

Catégorie de données sensibles

---

Origine raciale ou ethnique

Opinions politiques

Convictions religieuses ou philosophiques

Appartenance syndicale

Données génétiques

Données biométriques aux fins d'identification unique

Données concernant la santé

Données concernant la vie sexuelle ou l'orientation sexuelle

> 💼 Exemple professionnel : Un cabinet comptable qui gère la paie d'une entreprise cliente traite des données de santé (arrêts maladie, taux d'invalidité). Ces données sensibles exigent une protection renforcée.

2.3 Le traitement de données

L'article 4§2 du RGPD définit le traitement comme « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés, appliquées à des données » : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, effacement, destruction…

2.4 Les acteurs du traitement

La distinction entre responsable de traitement et sous-traitant est fondamentale (art. 4 et 28 RGPD) :

Acteur	Définition	Exemple
---	---	---
Responsable de traitement	Détermine les finalités et les moyens du traitement	L'entreprise cliente qui gère un fichier de paie
Sous-traitant	Traite les données pour le compte du responsable	Le prestataire cloud qui héberge le logiciel de paie
Personne concernée	La personne physique dont les données sont traitées	Le salarié dont la fiche de paie est traitée

> ⚠️ Le sous-traitant doit obligatoirement signer un contrat de sous-traitance précisant les obligations en matière de protection des données (art. 28 RGPD). En cas de violation, sa responsabilité peut être engagée.

---

3. Les six principes fondamentaux (art. 5 RGPD)

L'article 5 du RGPD pose six principes que doit respecter tout traitement de données. Le mnémotechnique « LiFiMiExConI » peut aider à les mémoriser :

Initiale	Principe	Contenu
---	---	---
Li	Licéité, loyauté, transparence	Les données doivent être traitées de manière légale, équitable et transparente vis-à-vis des personnes concernées
Fi	Limitation des finalités	Les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes, et ne peuvent être réutilisées de manière incompatible
Mi	Minimisation des données	Seules les données adéquates, pertinentes et strictement nécessaires à la finalité poursuivie doivent être collectées
Ex	Exactitude	Les données doivent être exactes et tenues à jour ; les données inexactes doivent être effacées ou rectifiées sans délai
Con	Limitation de la conservation	Les données ne peuvent être conservées que pendant la durée nécessaire à la réalisation de la finalité ; au-delà, elles doivent être supprimées ou anonymisées
I	Intégrité et confidentialité	Les données doivent être protégées contre tout traitement non autorisé, perte, destruction ou endommagement accidentel (sécurité technique et organisationnelle)