RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 | relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données - RGPD).
Selon le RGPD, comment l'évolution rapide des technologies et la mondialisation ont-elles impacté la protection des données ? | Elles ont créé de nouveaux enjeux et augmenté l'ampleur de la collecte et du partage de données par les entreprises privées et les autorités publiques.
Quel est l'objectif principal d'un cadre de protection des données solide et cohérent dans l'Union ? | Il est d'assurer un niveau élevé de protection des données, de susciter la confiance pour le développement de l'économie numérique, et de garantir que les personnes physiques aient le contrôle de leurs données.
Quel problème la directive 95/46/CE n'a-t-elle pas réussi à éviter, selon le RGPD ? | Une fragmentation de la mise en œuvre de la protection des données dans l'Union, menant à l'insécurité juridique.
Dans quel contexte le RGPD permet-il aux États membres de maintenir ou d'introduire des dispositions nationales pour préciser davantage les règles de protection ? | Lorsque le traitement est nécessaire à l'exécution d'une obligation légale, d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique.
Que signifie le principe de neutralité technologique dans la protection des personnes physiques au sens du RGPD ? | La protection devrait s'appliquer aux traitements de données à caractère personnel à l'aide de procédés automatisés ainsi qu'aux traitements manuels si les données sont contenues dans un fichier.
Quand le RGPD s'applique-t-il à un responsable de traitement non établi dans l'Union ? | Lorsque ses activités sont liées à l'offre de biens ou de services à des personnes concernées dans l'Union (avec ou sans paiement), ou au suivi de leur comportement au sein de l'Union.
Qu'est-ce qu'une personne physique identifiable au sens du RGPD ? | Une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant (nom, adresse IP, cookie, données de localisation, etc.).
Comment sont considérées les données ayant fait l'objet d'une pseudonymisation si elles peuvent être attribuées à une personne par des informations supplémentaires ? | Elles sont considérées comme des informations concernant une personne physique identifiable.
Qu'est-ce qu'un "traitement" selon le RGPD ? | Toute opération ou ensemble d'opérations appliquées à des données personnelles, automatisées ou non (collecte, enregistrement, conservation, modification, effacement, etc.).
Qu'est-ce que le "profilage" ? | Toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer des aspects personnels relatifs à une personne physique (rendement au travail, situation économique, santé, localisation, etc.).
Une autorité publique recevant des données dans le cadre d'une mission d'enquête particulière est-elle considérée comme un "destinataire" au sens du RGPD ? | Non. Le traitement par ces autorités doit être conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.
Quelles sont les quatre qualités requises pour qu'un consentement soit valide au sens du RGPD ? | Il doit être libre, spécifique, éclairé et univoque (donné par un acte positif clair, sans silence ni case cochée par défaut).
Qu'est-ce que la "pseudonymisation" ? | Un traitement de données personnelles de telle façon qu'elles ne puissent plus être attribuées à une personne précise sans informations supplémentaires, conservées séparément avec des mesures de sécurité.
Qu'est-ce qu'un "responsable du traitement" ? | La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement, détermine les finalités et les moyens du traitement.
Qu'est-ce qu'un "sous-traitant" ? | La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Citez les six principes relatifs au traitement des données personnelles (Article 5 du RGPD). | 1. Licéité, loyauté, transparence.
2. Limitation des finalités.
3. Minimisation des données.
4. Exactitude.
5. Limitation de la conservation.
6. Intégrité et confidentialité.
Quel est le principe exigeant que toute information relative au traitement soit aisément accessible, facile à comprendre, et formulée en des termes clairs et simples ? | Le principe de transparence.
Quelle est la base légale requise pour les traitements nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique ? | Le traitement doit être fondé sur le droit de l'Union ou le droit d'un État membre.
Les autorités publiques peuvent-elles s'appuyer sur la base de licéité des "intérêts légitimes" dans l'exécution de leurs missions ? | Non, ce fondement (Art. 6.1.f) ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.
Quel type de traitement ultérieur est généralement considéré comme compatible et licite, même s'il diffère de la finalité initiale ? | Le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques.
Quelles catégories particulières de données sont en principe interdites de traitement (Article 9.1) ? | Celles révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, biométriques, de santé ou relatives à la vie/orientation sexuelle.
Quand le traitement de données sensibles (Art 9.1) est-il autorisé pour les autorités publiques, si ce n'est par le consentement explicite ? | Lorsqu'il est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou d'un État membre, et assorti de garanties appropriées.
Comment les traitements portant sur les données de santé pour la médecine préventive ou la gestion de services de soins de santé peuvent-ils être traités licitement ? | Ils doivent être effectués par un professionnel de la santé soumis à une obligation de secret professionnel (ou une autre personne également soumise à une obligation de secret).
Le traitement de données génétiques, biométriques ou de santé peut-il faire l'objet de conditions ou de limitations supplémentaires au niveau national ? | Oui, les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, pour le traitement de ces catégories.
Quelle est la double obligation du responsable du traitement en ce qui concerne la sécurité des données (Article 32) ? | Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.
Citez au moins deux exemples de mesures de sécurité exigées par l'Article 32 du RGPD. | La pseudonymisation et le chiffrement des données personnelles, ou des moyens garantissant la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes.
Quel est le délai maximal pour que le responsable du traitement notifie une violation de données à caractère personnel à l'autorité de contrôle ? | 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer qu'il est peu probable que la violation engendre un risque.
Quel est le rôle du sous-traitant en cas de violation de données ? | Il doit notifier le responsable du traitement dans les meilleurs délais après en avoir pris connaissance.
Quand le responsable du traitement doit-il effectuer une Analyse d'Impact relative à la Protection des Données (AIPD/DPIA) ? | Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Citez deux situations où une AIPD est requise (Article 35.3). | L'évaluation systématique et approfondie d'aspects personnels (profilage) produisant des effets juridiques ; ou le traitement à grande échelle de catégories particulières de données sensibles ou de données pénales.
Si une AIPD révèle un risque élevé non atténué, quelle étape le responsable du traitement doit-il entreprendre avant de procéder au traitement ? | Il doit consulter l'autorité de contrôle préalablement.
Dans quel cas une autorité publique doit-elle désigner un Délégué à la Protection des Données (DPO) ? | Lorsque le traitement est réalisé par une autorité publique (à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle).
Quel est le délai standard de réponse du responsable du traitement à une demande d'exercice des droits (accès, rectification, etc.) par la personne concernée ? | Dans les meilleurs délais et en tout état de cause dans un délai d'un mois (prolongeable de deux mois).
Le responsable du traitement peut-il exiger un paiement pour fournir les informations ou prendre des mesures liées aux droits de la personne concernée ? | Non, sauf si les demandes sont manifestement infondées ou excessives (auquel cas il peut exiger des frais raisonnables ou refuser de donner suite).
En vertu du droit d'accès, la personne concernée a le droit d'être informée de l'existence d'une prise de décision automatisée (profilage). Quelle information utile doit être fournie dans ce cas ? | Des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
Le droit à l'effacement («droit à l'oubli») s'applique-t-il lorsque la conservation est nécessaire à l'exécution d'une mission d'intérêt public ou à des fins archivistiques dans l'intérêt public ? | Non, la conservation ultérieure des données est licite dans ces cas.
Dans le cadre d'un traitement automatisé, la personne concernée a le droit de recevoir ses données dans un format structuré et interopérable, et de les transmettre à un autre responsable (droit à la portabilité). Ce droit s'applique-t-il aux missions publiques ? | Non, il ne devrait pas s'appliquer lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique.
Quel droit est conféré à une personne concernant une décision prise sur le seul fondement d'un traitement automatisé (y compris le profilage) produisant des effets juridiques ou l'affectant de manière significative ? | Le droit de ne pas faire l'objet d'une telle décision.
Quelles sont les garanties minimales que doit mettre en œuvre le responsable du traitement lorsqu'une décision automatisée est exceptionnellement permise ? | Le droit d'obtenir une intervention humaine, d'exprimer son point de vue, et de contester la décision.
Selon la Loi Informatique et Libertés (LIL), quel est le statut de la Commission Nationale de l'Informatique et des Libertés (CNIL) ? | C'est une autorité administrative indépendante.
Selon la LIL, quel est l'objectif fondamental que l'informatique doit servir ? | Elle doit être au service de chaque citoyen et ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Quel est l'un des rôles réglementaires de la CNIL concernant les traitements de données de santé, génétiques et biométriques ? | Elle établit et publie des règlements types et peut prescrire des mesures techniques et organisationnelles supplémentaires pour leur traitement.
Comment sont autorisés les traitements de données personnelles mis en œuvre pour le compte de l'État qui intéressent la sûreté de l'État ou la défense (Titre IV de la LIL) ? | Par arrêté du ou des ministres compétents, pris après avis motivé et publié de la CNIL.
Comment sont autorisés les traitements pour le compte de l'État (exercice de la puissance publique) portant sur des données génétiques ou biométriques à des fins d'authentification ou de contrôle d'identité ? | Par décret en Conseil d'État, pris après avis motivé et publié de la CNIL.
En cas d'urgence et de violation grave des droits, quelle mesure provisoire la formation restreinte de la CNIL peut-elle adopter (sauf pour les traitements d'État sensibles) ? | L'interruption provisoire de la mise en œuvre du traitement pour une durée maximale de trois mois.
Les amendes administratives de la CNIL (jusqu'à 20 millions d'euros ou 4 % du CA mondial) s'appliquent-elles aux traitements mis en œuvre par l'État ? | Non, l'imposition d'une amende administrative est une exception dans les cas où le traitement est mis en œuvre par l'État.
Sur quelle période s'est déroulé le plan ADministration ÉLEctronique (ADELE), visant à faire de l'e-administration un levier de modernisation de l'État ? | 2004-2007.
Quel est l'objectif principal du dispositif France Connect déployé en 2016 ? | Il permet d'utiliser un compte, un identifiant et un mot de passe uniques pour tous les services publics en ligne (impôts, caisse d'allocations familiales, mairie, etc.).
Quelle loi de 2016 a imposé aux administrations d'ouvrir leurs données publiques par défaut, y compris les algorithmes utilisés dans les décisions administratives ? | La Loi pour une République numérique (dite loi "Lemaire").
Quel est le principe de la politique de simplification de l'État visant à éviter de redemander les mêmes informations aux usagers ? | Le principe "dites-le-nous une fois" (partage des données des usagers entre administrations par défaut).
Quel est le nom de l'outil d'IA générative, souverain et libre, développé par la DINUM et déployé dans le réseau France services depuis 2024 ? | "Albert".
Quel fonds a été créé au titre du Grand plan d’investissement 2018-2022 pour accompagner les administrations dans leurs projets de transformation ? | Le Fonds pour la transformation de l’action publique (FTAP).