LogoLogoHubert SevrinCybersecurity Apprentice

GDPR / RGPD

Mettre les traitements en conformité : data mapping, DPIA, registres, sécurité.

  • Data mapping & inventaire des traitements
  • Base légale, consentement, intérêts légitimes
  • Droits des personnes (accès, effacement, portabilité)
  • Minimisation, durée de conservation, journalisation
Application
UE + ciblage UE (Art. 3)
Délai notif. incident
72 h (Art. 33)
Âge du consentement
13–16 ans selon pays (Art. 8)
Amendes
Jusqu’à 20 M€ ou 4% CA

Bases légales

Choisir 1 base par finalité.

Base
Conditions
Référence
Consentement
Libre, spécifique, éclairé, univoque
Art. 6(1)(a)
Contrat
Nécessaire à l’exécution d’un contrat
Art. 6(1)(b)
Obligation légale
Exigée par la loi
Art. 6(1)(c)
Intérêts vitaux
Sauver la vie/intégrité
Art. 6(1)(d)
Mission d’intérêt public
Autorité investie
Art. 6(1)(e)
Intérêt légitime
Équilibre intérêts vs droits
Art. 6(1)(f)

Droits des personnes

Mettre en place un processus simple (SLA) pour répondre aux demandes (identité, périmètre, suivi).

Art. 15
Accès
Obtenir une copie des données.
Art. 16
Rectification
Corriger des inexactitudes.
Art. 17
Effacement
Droit à l’oubli (conditions).
Art. 20
Portabilité
Recevoir/transférer ses données.
Art. 21
Opposition
S’opposer à certains traitements.
Art. 18
Limitation
Geler le traitement (conditions).

Registres & documentation

Conserver des preuves : registre, politiques, mentions, contrats, procédures, journaux.

  • Registre des traitements (finalités, bases légales, destinataires)
  • Catégories de données / personnes concernées
  • Transferts hors UE (mécanisme) & sous-traitants
  • Mesures de sécurité, durées de conservation
  • Procédure d’exercice des droits (SLA, contact)
  • Politique de violation / notification (72 h)
  • Politique de conservation & suppression

DPIA — Analyse d’impact

Requise lorsque le risque est élevé pour les droits et libertés. Documenter le raisonnement.

Quand ?
  • Surveillance systématique à grande échelle
  • Traitements sensibles (santé, biométrie, etc.)
  • Profilage avec effets juridiques significatifs
  • Usage innovant de technologies (risques élevés)

Sous-traitants

Contrat conforme (Art. 28) + due diligence sécurité & vie privée, supervision continue.

  • Contrat écrit (objet, durée, nature, finalités)
  • Mesures de sécurité équivalentes au responsable
  • Sous-traitance en chaîne conditionnée (accord préalable)
  • Aide à la gestion des droits & incidents
  • Fin de contrat : suppression/restitution des données
  • Preuves / audits / attestations

Transferts internationaux

En dehors de l’EEE : utiliser un mécanisme valide et évaluer les garanties.

  • Pays adéquats (décision d’adéquation)
  • Clauses contractuelles types (CCT/SCC)
  • Règles d’entreprise contraignantes (BCR)
  • Évaluation complémentaire (TOMs) si nécessaire

Sécurité des traitements (Art. 32)

Mesures techniques & organisationnelles proportionnées : confidentialité, intégrité, disponibilité.

  • Chiffrement au repos & en transit (TLS, clés gérées)
  • Contrôles d’accès (RBAC), durcissement OS/SSH
  • Journalisation & détection d’incidents (SIEM/F2B)
  • Sauvegardes testées, restauration, PRA/PCA
  • Revue de code & dépendances (CI, SCA)
  • CSP/HSTS/COOP/COEP, headers sécurité
  • Gestion des secrets (vault), principe du moindre privilège

Cookies & consentement

Transparence, consentement granulaire pour cookies non essentiels, retrait facile.

  • Consentement préalable pour cookies non essentiels (analytics/ads)
  • Bannière claire (finalités) + centre de préférences
  • Preuve du consentement, retrait simple
  • Exemptions : cookies strictement nécessaires

Violation de données — Timeline

Définir un plan de réponse : détecter, notifier, communiquer, corriger, documenter.

Quand
Action
Référence
T0
Détection / qualification incident
Initier le plan réponse
T0–72h
Notification à l’autorité si risque
Art. 33
Au plus tôt
Information des personnes si risque élevé
Art. 34
Post-mortem
Leçons, mesures correctives, preuves
Rapport interne

Durées de conservation

Limiter la durée aux besoins + obligations légales. Formaliser et automatiser les purges.

Candidatures
2 ans max après dernier contact (recommandation CNIL)
Clients (contrat)
Durée du contrat + obligations légales
Prospection
3 ans après dernier contact actif
Logs techniques
6 mois à 1 an (selon besoin sécu/légal)

DPO / Délégué à la protection des données

Nomination dans les cas requis, indépendance et ressources suffisantes.

  • Obligatoire si autorité publique, surveillance à grande échelle ou données sensibles à grande échelle
  • Peut être interne ou externe, indépendant, ressources suffisantes
  • Point de contact avec l’autorité & conseil interne
  • Documentation des activités / audits

Feuille de route (PME / start-up)

Approche pragmatique et progressive (evidence-based).

Data mapping
01 — Cartographier
Systèmes, données, flux, bases légales
Risk-based
02 — Prioriser risques
DPIA si nécessaire, quick wins sécurité
Records
03 — Mettre à jour docs
Registres, politiques, mentions, contrats
Run
04 — Opérationnaliser
SLA droits, incidents, conservation
PDCA
05 — Améliorer
KPIs, audits, sensibilisation

Note : contenu informatif — pas un conseil juridique. Adapter à votre contexte et à la législation locale.