Cours complet de UE8 — Systèmes d'information pour le DCG. Révise efficacement avec StudentAI.
---
Le Règlement Général sur la Protection des Données (RGPD), ou General Data Protection Regulation (GDPR) en anglais, est le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Publié au Journal officiel de l'Union européenne le 4 mai 2016, il est applicable depuis le 25 mai 2018 dans l'ensemble des États membres, sans nécessiter de transposition nationale (il s'agit d'un règlement, et non d'une directive).
En France, la loi Informatique et Libertés du 6 janvier 1978 (n° 78-17), profondément réformée par la loi n° 2018-493 du 20 juin 2018, constitue le texte national complémentaire. L'autorité nationale de contrôle est la Commission Nationale de l'Informatique et des Libertés (CNIL), créée par cette même loi de 1978.
Le RGPD s'inscrit dans la continuité de la Directive 95/46/CE qu'il abroge, tout en renforçant considérablement les obligations des organisations et les droits des individus, dans un contexte de transformation numérique profonde de l'économie.
> Référentiel DCG UE8 : Ce chapitre couvre les thèmes relatifs à la gouvernance des systèmes d'information, à la sécurité des données et aux obligations légales pesant sur les organisations dans la gestion de leurs SI.
---
| Texte | Nature | Date |
| --- | --- | --- |
| Règlement (UE) 2016/679 (RGPD) | Règlement européen directement applicable | Applicable au 25/05/2018 |
| Loi Informatique et Libertés n° 78-17 | Loi nationale française, modifiée en 2018 | 6 janvier 1978 (réformée 2018) |
| Loi n° 2018-493 du 20 juin 2018 | Adaptation du droit national au RGPD | 20 juin 2018 |
| Ordonnance n° 2018-1125 du 12 décembre 2018 | Réécriture de la loi I&L | 12 décembre 2018 |
| Directive (UE) 2016/680 (Police-Justice) | Directive complémentaire | Applicable au 06/05/2018 |
Le RGPD s'applique selon un principe d'extraterritorialité étendu :
1. Critère d'établissement : tout organisme établi sur le territoire de l'UE, quel que soit le lieu du traitement.
2. Critère de ciblage : tout organisme, même établi hors UE, dès lors qu'il traite des données de personnes résidant dans l'UE, dans le cadre de l'offre de biens/services ou du suivi de comportements.
> Exemple concret : Une entreprise américaine de e-commerce qui vend des produits à des consommateurs français est soumise au RGPD, même sans établissement en Europe.
Le RGPD s'applique au traitement automatisé de données personnelles et au traitement non automatisé dès lors que ces données sont contenues ou destinées à figurer dans un fichier.
Exclusions notables :
> "Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée 'personne concernée') ; est réputée être une 'personne physique identifiable' une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale."
> — Article 4, §1, RGPD
| Type de données | Exemples |
| --- | --- |
| Données d'identification directe | Nom, prénom, numéro de sécurité sociale, photo |
| Données d'identification indirecte | Adresse IP, cookies, numéro client, plaque d'immatriculation |
| Données sensibles (art. 9) | Origine raciale/ethnique, opinions politiques, données de santé, données biométriques, orientation sexuelle |
| Données pénales (art. 10) | Condamnations pénales, infractions |
Le traitement désigne toute opération appliquée à des données personnelles : collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou mise à disposition, rapprochement, limitation, effacement ou destruction.
Cette définition est intentionnellement large : le simple fait de stocker un fichier Excel contenant des noms et adresses constitue un traitement.
| Acteur | Définition (art. 4 RGPD) | Responsabilité |
| --- | --- | --- |
| Responsable du traitement (RT) | Personne physique ou morale qui détermine les finalités et les moyens du traitement | Responsabilité principale, doit démontrer la conformité |
| Sous-traitant (ST) | Personne qui traite des données pour le compte du RT | Obligations propres renforcées par le RGPD (art. 28) |
| Destinataire | Personne qui reçoit communication des données | Variable selon le contexte |
| Tiers | Toute personne autre que la personne concernée, le RT, le ST et les personnes autorisées | Accès possible sous conditions strictes |
| Co-responsables | Deux RT ou plus qui déterminent conjointement les finalités et les moyens (art. 26) | Responsabilité partagée, accord obligatoire |
---
Tout traitement doit reposer sur l'une des six bases légales prévues par l'article 6 du RGPD. Le choix de la base légale conditionne les droits des personnes et les obligations du responsable.
| Base légale | Description | Exemples d'application |
| --- | --- | --- |
| Consentement (art. 6-1-a) | Manifestation de volonté libre, spécifique, éclairée, univoque et positive | Newsletter marketing, cookies non essentiels |
| Exécution d'un contrat (art. 6-1-b) | Nécessaire à l'exécution ou à la formation d'un contrat avec la personne concernée | Livraison d'une commande, traitement de la paie |
| Obligation légale (art. 6-1-c) | Traitement imposé par une obligation légale | Conservation des bulletins de paie, déclarations fiscales |
| Sauvegarde des intérêts vitaux (art. 6-1-d) | Protection des intérêts vitaux de la personne ou d'un tiers | Urgence médicale |
| Mission d'intérêt public (art. 6-1-e) | Exécution d'une mission d'intérêt public ou relevant de l'autorité publique | Traitement par les administrations publiques |
| Intérêts légitimes (art. 6-1-f) | Intérêts légitimes du RT prévalant sur les droits de la personne (balance des intérêts) | Sécurisation du SI, lutte contre la fraude interne |
Le consentement doit être :
L'article 5 du RGPD énonce les principes fondamentaux auxquels tout traitement doit se conformer. Le principe de responsabilité (accountability) impose au RT de pouvoir démontrer le respect de ces principes.
| N° | Principe | Contenu essentiel |
| --- | --- | --- |
| 1 | Licéité, loyauté, transparence | Traitement fondé sur une base légale, sans tromper la personne |
| 2 | Limitation des finalités | Finalités déterminées, explicites, légitimes ; incompatibilité des finalités secondaires interdite |
| 3 | Minimisation des données | Données adéquates, pertinentes, limitées au strict nécessaire (data minimization) |
| 4 | Exactitude | Données exactes, mises à jour ; données inexactes effacées ou rectifiées |
| 5 | Limitation de la conservation | Durée de conservation limitée à ce qui est nécessaire aux finalités |
| 6 | Intégrité et confidentialité | Sécurité technique et organisationnelle appropriée (security by design) |
| 7 | Responsabilité (Accountability) | Le RT doit pouvoir démontrer la conformité à tout moment |
---
Tableaux récapitulatifs, mnémotechniques, exercices corrigés, QCM et colle orale IA — tout est inclus.
S'inscrire gratuitementLes conséquences peuvent inclure des amendes financières, des sanctions administratives, et une atteinte à la réputation de l'entreprise.
Le responsable du traitement est principalement responsable de la conformité, mais tous les employés doivent être formés et sensibilisés aux enjeux de la protection des données.
QCM illimités, colle orale IA, flashcards et bien plus — 100% gratuit.
Commencer à réviser