Want to make creations as awesome as this one?
Register now
Report content

More creations to inspire you

MARKETING CALENDAR 2021

Guide

COOL EVENT PLANNING

Guide

ONLINE EDUCATION GUIDE

Guide

TOP 5 LOL CHAMPS

Guide

COMPANY ROAD MAP

Guide

PROFILES THAT INSPIRE YOU ON MOBILE

Guide

THE MOST VIRAL VIDEOS ON THE INTERNET

Guide

Discover more incredible creations here

Transcript

Protection des données personnelles et RGPD dans la recherche :conséquences, obligations, implications

Cellule Science Ouverte

RGPD

Conséquences | Sanctions

3

Conséquences | Sanctions

5

Qui est concerné ?

4

Qu’est-ce qu’un traitement de données personnelles ?

Qu’est-ce qu’une donnée personnelle ?

2

Qu’est-ce que le RGPD ?

1

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) encadre le traitement des données personnelles sur le territoire de l’Union européenne. Le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe, en offrant un cadre juridique unique aux professionnels, et permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.Où trouver le texte ?Brexit : le RGPD reste applicable au Royaume-Uni jusqu’au 1er Juillet 2021

4

5

Conséquences | Sanctions

3

Conséquences | Sanctions

5

Qui est concerné ?

4

Qu’est-ce qu’un traitement de données personnelles ?

Qu’est-ce qu’une donnée personnelle ?

2

Qu’est-ce que le RGPD ?

1

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable ».Une personne peut être identifiée :

  • directement (nom, prénom)
  • indirectement (identifiant [n° client], numéro [téléphone], donnée biométrique, éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, la voix ou l’image).
L’identification d’une personne physique peut être réalisée :
  • à partir d’une seule donnée (numéro de sécurité sociale, ADN)
  • à partir du croisement d’un ensemble de données (un individu vivant à telle adresse, né tel jour, abonné à tel magazine et militant dans telle association).

Conséquences | Sanctions

3

Lionel Maurel, Données personnelles et recherche scientifique : quelle articulation dans le RGPD ?

Conséquences | Sanctions

5

Qui est concerné ?

4

Qu’est-ce qu’un traitement de données personnelles ?

Qu’est-ce qu’une donnée personnelle ?

2

Qu’est-ce que le RGPD ?

1

Qu’est-ce qu’un traitement de données personnelles ? /1

↪ collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition.

Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé.

Un traitement de données personnelles n’est pas nécessairement informatisé, MAIS il doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.

Selon la CNIL

Conséquences | Sanctions

3

Qu’est-ce qu’un traitement de données personnelles ? /2 →

Conséquences | Sanctions

5

Qui est concerné ?

4

Qu’est-ce qu’un traitement de données personnelles ?

Qu’est-ce qu’une donnée personnelle ?

2

Qu’est-ce que le RGPD ?

1

Exemples :

  • Consultation de données de contacts comprenant des données personnelles ;
  • Campagne d’e-mails promotionnels ;
  • Conservation d’adresse IP ;
  • Conservation d’enregistrements de vidéosurveillance ;
  • Publication d’une photo d’une personne sur internet.

Qu’est-ce qu’un traitement de données personnelles ? /2

Sa désignation est obligatoire dans les établissements publics.Vous devez contacter votre DPO avant tout traitement pour déclarer vos recherches utilisant des données personnelles. Le/La DPO doit :

  • tenir le registre des traitements des données personnelles des unités ;
  • garantir les droits et libertés fondamentales des personnes dont les données sont collectées au sein de l’établissement de recherche ;
  • permettre la mise en œuvre du RGPD ;
  • accompagner les activités de recherche.
Pour aller plus loin

Conséquences | Sanctions

3

Délégué·e à la protection des données (DPD) | Data Protection Officer (DPO)

Conséquences | Sanctions

← Qu’est-ce qu’un traitement de données personnelles ? /1

5

Qui est concerné ?

4

Qu’est-ce qu’un traitement de données personnelles ?

Qu’est-ce qu’une donnée personnelle ?

2

Qu’est-ce que le RGPD ?

1

Qui est concerné ? /2 →

Qui est concerné ? /1

Territoire d’application : ↪ États membres de l’Union européenne. ↪ Traitement de données de tout citoyen européen.Le Règlement général sur la protection des données (RGPD) s’applique :

  • à toute organisation, publique et privée, quelle que soit sa taille (entreprise, ministère, administration, collectivité, association, etc.) ;
  • qui traite des données personnelles pour son compte ou non ;
  • qui est établie sur le territoire de l'Union européenne ;
  • ou qui, non établie sur le territoire de l'Union européenne, cible directement des résidents européens (exemple : un site internet chinois qui propose un service de livraison en France avec paiement en euros).

Conséquences | Sanctions

3

Conséquences | Sanctions

5

Qui est concerné ?

4

Qu’est-ce qu’un traitement de données personnelles ?

Qu’est-ce qu’une donnée personnelle ?

2

Qu’est-ce que le RGPD ?

1

Qui est concerné ? /2

2 questions & 2 critères

Conséquences | Sanctions

3

Champ d’application 1 : toute information qui se rapporte à une personne physique

  • identifiée > nom, prénom, adresse, photo...
  • identifiable (directement ou indirectement) : numéro de téléphone, numéro client, adhérent, immatriculation de véhicule, croisement de diverses informations....

Champ d’application 1 : l’établissement du responsable du traitement ou du sous-traitant est sur le territoire de l’UE. Se demander qui est le responsable du traitement.

Conséquences | Sanctions

Pour en savoir plus

Pour en savoir plus

5

Champ d’application 2 : toute opération ou ensemble d’opération(s) effectuée(s) ou non à l’aide de procédés automatisés appliqués à des données à caractère personnel.

1. Est-ce que je mets en oeuvre un ou des traitements de données à caractère personnel ? ↪ critère matériel

2. Ce traitement a-t-il un lien avec l’UE ?↪ critère géographique

Champ d’application 2 : concerne le sous-traitant qui traite des données à caractère personnel pour le compte du responsable du traitement. Doit avoir une entité juridique distincte du responsable de traitement.

Exclusion

Qui est concerné ?

Exclusions

← Qui est concerné ? /1

4

Qu’est-ce qu’un traitement de données personnelles ?

Qu’est-ce qu’une donnée personnelle ?

2

Qu’est-ce que le RGPD ?

1

Les données anonymisées de manière irréversible > ne permettent plus l’identification de la personne et ne sont pas soumises à la règlementation sur la protection des données personnelles. ↬ Cela ne comprend pas les données pseudonymisées qui, elles, permettent la (ré)identification d’une personne grâce à une table de correspondance par exemple. Ces données sont soumises à la règlementation sur la protection des données personnelles.

critère matériel

Champ d’application 1 - Exclusion

Retour à la fiche 4 Qui est concerné ? /2

EXCLUSION 1 : les traitements effectués par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. Exemples :

  • les contacts d’un téléphone : exclus du RGPD si c’est un téléphone personnel mais inclus si le téléphone est professionnel ;
  • les contacts d’un compte mail : un particulier n’est pas concerné par les obligations du RGPD MAIS le responsable du traitement (celui qui fournit le service) est concerné par les obligations du RGPD > Google, Facebook, l’employeur...
EXCLUSION 2 : les traitements qui concernent des personnes morales, entités dotées de la personnalité juridique, le nom, les coordonnées de la personne morale.

critère matériel

Champ d’application 2 - Exclusions

Retour à la fiche 4 Qui est concerné ? /2

Questions que l’on peut se poser pour savoir qui est responsable du traitement :

  • Qui a une influence de fait sur les finalités (qui détermine à quoi va servir le traitement ?) ?
    • Les finalités correspondent aux objectifs du traitement et les moyens dits essentiels aux types de données, qui y aura accès, combien de temps, qui sera concerné...
  • Qui a les moyens du traitement (qui détermine comment atteindre les objectifs ?) ?
    • personne physique, morale, autorité publique, service ou organisme qui, seul ou collectivement, impose des finalités et les moyens pour traiter des données...
Pour l’enseignant chercheur (EC), qui est le responsable du traitement ?
  • De fait l’Université (le Président) est responsable du traitement des données administratives relatives aux étudiants.
  • Si l’EC est dans une UMR ou au CNRS, le directeur de l’unité est responsable du traitement.
  • Si l’EC travaille sur un projet ANR, H2020... le responsable du traitement est le responsable du projet de recherche.
  • Si l’EC travaille pour ses propres recherches, sur ses propres moyens avec ses propres objectifs, il est responsable du traitement.
NOUVEAUTÉLa responsabilité conjointe : plusieurs universités associées, par exemple, peuvent devenir co-responsables des opérations de traitement de données mises en commun. Par contre le traitement des données qui leur sont propres (étudiants, personnels) reste sous leur responsabilité exclusive.

critère géographique

Champ d’application 1

Retour à la fiche 4 Qui est concerné ? /2

Retour à la fiche 4 Qui est concerné ? /2

  • Le sous-traitant exécute les instructions en respectant les finalités et moyens donnés par le responsable du traitement. Il a une absence d’autonomie pour le traitement des données.
  • Il peut s’agir d’une personne physique, morale, d’une autorité publique, d’un service...
NOUVEAUTÉS1. La prise en compte de l’établissement du sous-traitant : le critère essentiel dans le RGPD est le lieu d’établissement du responsable du traitement ou du sous-traitant. Peu importe où a lieu le traitement, c’est le lieu où ces derniers sont installés qui compte. Exemple : une étude d’une unité française au Brésil. Le responsable du traitement = Français donc le RGPD s’applique.2. La localisation des personnes concernées par le traitement : le RGPD peut s’appliquer même si le responsable du traitement et le sous-traitant ne sont pas domiciliés en UE. Si la personne concernée par le traitement est localisée en Europe, le RGPD s’applique même si le responsable du traitement et le sous-traitant sont hors Europe.EXEMPLES
  1. biens ou services proposés à des personnes de l’UE par un organisme hors UE : Amazon, Facebook, Google, universités qui reçoivent des étudiants européens... L’organisme est soumis au RGPD.
  2. suivi de comportement de personnes situées dans l’UE (profilage) : traitement automatisé de données à caractère personnel et utilisation de ces données pour évaluer des aspects personnels d’une personne physique (prédiction, analyse...).

critère géographique

Champ d’application 2

Conséquences | Sanctions /2 →

Conséquences | Sanctions /1

Conséquences | Sanctions

3

Conséquences | Sanctions

5

Qui est concerné ?

4

Qu’est-ce qu’un traitement de données personnelles ?

Nouvelles obligations et grands principes du RGPD :

Licéité, loyauté et transparenceDroits des personnesFinalité Limitation de la conservation des donnéesSécurité des données personnellesSous-traitant Minimisation

Qu’est-ce qu’une donnée personnelle ?

2

FAQ de la Commision européenne

Qu’est-ce que le RGPD ?

1

↪ Traitement de manière loyale, licite et transparente des données, après avoir vérifié l’existence d’une base légale permettant leur traitement.

Licéité, loyauté et transparence

Le traitement doit reposer sur :

  • le consentement de la personne concernée : libre, spécifique à une finalité, éclairé, univoque. La personne doit être consciente de son droit de retrait, de l’identité du responsable du traitement, de la finalité, des destinataires, des données traitées. Le responsable du traitement doit pouvoir prouver l’existence du consentement (compréhensible, clair, accessible). Pour les mineurs de moins de 15 ans, le consentement n’est valable que s’il est donné par le mineur ET le représentant de l’autorité parentale.
  • une nécessité contractuelle
  • une obligation légale
  • la nécessité de sauvegarder les intérêts vitaux de la personne concernée
  • l’intérêt public
  • un intérêt légitime pour le responsable du traitement : sauf si les données sont à caractère personnel. 4 éléments à vérifier :
    • vérifier si l’intérêt est légitime ;
    • apprécier l’impact du traitement sur la personne ;
    • faire un bilan provisoire ;
    • donner le bilan définitif qui prend en compte l’étude des garanties fournies par le responsable du traitement.
⚠ Attention aux données sensibles

Retour à la fiche 5 Conséquences | Sanctions /1

L’article 9 du RGPD interdit de recueillir certaines données à caractère personnel : origine raciale, ethnique, religion, informations génétiques, idées politiques, santé ou sexualité... > Données sensibles. Exceptions

  • si les données sont anonymisées par un procédé validé par la CNIL ;
  • si la personne concernée donne son consentement ;
  • si la personne concernée rend ses données publique volontairement, d’elle même ;
  • si le traitement est nécessaire pour l'intérêt public, pour la recherche, l’histoire, les statistiques...
Traitement des données sensibles à des fins de recherches > doit correspondre à l’objectif, respecter le droit à la protection des données et prendre les mesures spécifiques pour conserver les droits essentiels et les intérêts de la personne concernée. Dans ce cas le consentement n’est pas nécessaire MAIS l’avis de la CNIL est demandé. Pour les données de santé, des procédures doivent être respectées (MR-001 à MR-006) : les « méthodologies de référence » dispensent d’avoir l’avis de la CNIL mais imposent le dépôt d’une déclaration préalable du traitement à la CNIL.

↪ Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant si elle repère des erreurs, inexactitudes ou des données dont la collecte, l’utilisation, la communication ou la conservation est interdite.↪ Sur simple demande, le responsable du traitement informatique ou du fichier doit fournir une copie des informations et préciser d’où elles proviennent.

Droits des personnes

Droit d’accès, de modification (Article 16 du RGPD). La dérogation pour la recherche n’est pas applicable si :

  • la mise en œuvre de ce droit risque de rendre impossible ou d’entraver la réalisation des finalités spécifiques au traitement.
  • les données à caractère personnel sont conservées sous une forme excluant tout risque d’atteinte à la vie privée et à la protection des données des personnes concernées.
  • la durée n’excède pas celle nécessaire aux seules finalités de réalisation de recherche scientifique ou historique.
Droit à l’oubli - à l’effacement (Article 17 du RGPD). La dérogation pour la recherche n’est pas applicable si :
  • la mise en œuvre de ce droit risque de rendre impossible ou d’entraver la réalisation des finalités spécifiques au traitement. Il faut justifier en quoi l’accès à une telle demande risque de compromettre la recherche.
Droit d’opposition (Article 21 du RGPD). La dérogation pour la recherche n’est pas applicable si :
  • le traitement poursuivant des finalités de recherche est fondé sur l’exécution d’une mission d’intérêt public. Cela implique l’existence d’un texte légal qui sert de référence pour mettre en œuvre l’activité de recherche.

Retour à la fiche 5 Conséquences | Sanctions /1

↪ Avant tout, annoncer aux personnes concernées les objectifs de la collecte des données : ce à quoi elles vont servir. ↪ Ces données ne pourront être réutilisées pour une autre finalité que celle prévue.

Finalité

Les finalités doivent être fixées par le responsable du traitement. ↬ Pourquoi demande-t-il la création de tel fichier ? la collecte de telle donnée ?Obligation de préciser l’objectif précis de la recherche : création d’une application, BDD, article, future recherche... NOUVEAUTÉLes finalités doivent être explicites, données par écrit aux personnes concernées au début du traitement. Exception pour la recherche qui dispose d’une certaine marge de manœuvre pour formuler les finalités des traitements de données collectées d’une manière moins précise que ce qui est exigé en principe par le RGPD (considérant 33 article 5).

« Souvent, il n’est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet. »

Retour à la fiche 5 Conséquences | Sanctions /1

↪ Il n’est pas possible de conserver des informations sur des personnes physiques dans un fichier pour une durée indéfinie. Une durée de conservation précise doit être fixée, limitée au strict minimum.

Limitation de la conservation des données

Dérogations pour la recherche :

  • Les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.
  • Des mesures techniques et organisationnelles appropriées doivent être mises en œuvre pour garantir les droits et libertés de la personne concernée.
↬ Des données relatives à une recherche peuvent être conservées au-delà de la durée du projet de recherche, selon une procédure d’archivage définitif impliquant la remise des données à un service disposant de la compétence légale pour procéder à cette opération. Exemple : les Archives départementales ou le service des archives dans une université.↬ Dans tous les cas il faut consulter le/la DPO/DPD (Data Protection Officer/Délégué à la Protection des Données) et le service des archives.Pour en savoir plus

Retour à la fiche 5 Conséquences | Sanctions /1

Il convient de distinguer :

  1. La base active : correspond à la durée d’utilisation courante des données (exemple : la réalisation des recherches)
  2. L’archivage intermédiaire : les données ont encore un intérêt, peuvent être consultées de manière ponctuelle et motivée par des personnes spécifiquement habilitées.
  3. L’archivage définitif : certaines données de « valeur » et d’intérêt sont archivées de manière définitive et pérenne.
Quelles conditions ?
  • Ces données sont conservées par le responsable du traitement (ou le sous-traitant) et ne sont accessibles ou modifiables QUE par des personnes autorisées.
  • Ces personnes respectent les règles de déontologie applicables à leurs activités.
  • Ces données ne peuvent pas être diffusées sans avoir été préalablement anonymisées.

↪ Garantir la sécurité et la confidentialité des informations détenues. Veiller à ce que seules les personnes autorisées y aient accès. ↪ Rendre des comptes (accountability) sur l’utilisation des données.

Sécurité des données personnelles

D’après l’article 24 du RGPD, prendre des mesures de sécurité consiste à :

  • protéger les données contre le traitement non autorisé ou illicite, la perte, la destruction, les dégâts d’origine accidentelle, la divulgation à des personnes non autorisées, ...
  • établir une politique de sécurité des données, d’actions de sensibilisation du personnel...
3 obligations :
  1. La cartographie (inventaire) des traitements de données à caractère personnel.
  2. La sécurisation des données et des traitements. En cas de violation des données, notifier la CNIL et la personne concernée.
  3. La réalisation d’éventuelles analyses d’impact.
Pour en savoir plus

Retour à la fiche 5 Conséquences | Sanctions /1

3 obligations 1. La cartographie des traitements de données à caractère personnel Faire l’inventaire des traitements de données à caractère personnel mis en œuvre sous la forme d’un registre régulièrement mis à jour (par le/la DPO + responsable du traitement).Cela permet de prouver la conformité au RGPD et contient :

  • les différents traitements de données personnelles ;
  • les catégories de données personnelles traitées ;
  • les objectifs poursuivis par les opérations de traitements de données ;
  • les acteurs (internes ou externes) qui traitent ces données ;
  • les flux indiquant l’origine et la destination des données (surtout pour identifier les transferts de données hors de l’Union européenne).
↬ Pour le chercheur, il s’agit d’informer le responsable du traitement de l’existence du traitement en précisant : les catégories de données concernées, l’objectif du traitement et les acteurs (internes ou externes) qui traitent ces données. 2. La sécurisation des données et des traitements En cas de violation des données, notifier : 1. La CNIL : Quand ? Dans les « meilleurs délais », au plus tard 72h après la violation. Au-delà le responsable du traitement devra justifier le retard. Quoi ? Nom et coordonnées du/de la DPD/DPO, les faits constituant la violation, les conséquences, les mesures prises par l’organisme pour y remédier. 2. La personne concernée : uniquement en cas de violation susceptible d’engendrer un risque élevé pour les droits et libertés selon 3 critères : confidentialité, disponibilité, intégrité. Quand ? Dans les « meilleurs délais » Quoi ? Nom et coordonnées du/de la DPO/DPD, les faits constituant la violation, les conséquences, les mesures prises par l’organisme pour y remédier. EXCEPTION Quand l’organisme a pris des mesures :
  • rendant incompréhensibles les données à caractère personnel ;
  • supprimant les risques pour les droits et les libertés des personnes concernées ;
  • lorsque cette information exige des efforts disproportionnés.
↬ Pour le chercheur cela implique :
  • un accès sécurisé et contrôlé aux données ;
  • l’anonymisation imposée lors de la diffusion des résultats ;
  • la pseudonymisation - mise en œuvre toutes les fois où cela est pertinent.
3. La réalisation d’éventuelles analyses d’impact
  • Processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité.
  • Évaluer et déterminer les mesures nécessaires pour y faire face.
  • Obligatoire en cas de « risque élevé pour les droits et les libertés des personnes » (traitement à grande échelle, grande zone publique...).
  • Si l’analyse d’impact conclut à un risque élevé, obligation de consulter la CNIL qui a entre 8 et 14 semaines pour se prononcer : conseils, enquête, interdiction du traitement.

↪ Obligations de transparence et de traçabilité du parcours et des transformations des données personnelles (mêmes obligations pour le responsable du traitement).

Sous-traitant

Établir un contrat pour identifier les obligations de chacun :

  • répertorier les actions effectuées sur les données transmises par le client ;
  • si les données sont encore sous-traitées, avoir l’autorisation du fournisseur de données.
3 types d’obligation :
  • Obligation de respecter les principes du RGPD.
  • Obligation de garantir la sécurité des données à caractère personnel.
  • Obligation d’alerte et de conseil.
Pour en savoir plus

Retour à la fiche 5 Conséquences | Sanctions /1

Obligation de respecter les principes du RGPD

  • Les outils et services du sous­-traitant doivent prendre en compte les exigences du RGPD et être en conformité avec ces dernières en termes de protection des données personnelles.
  • Obligation de garantir que seules les données en rapport avec la mission seront conservées et traitées.
Obligation de garantir la sécurité des données à caractère personnel
  • Assurer au client que les données qui lui ont été confiées sont bien en sécurité, avec une obligation de confidentialité vis-à­ vis de ces informations.
  • À la demande du client, à la fin de la prestation, le sous-traitant rend ou détruit les données (sauf si une obligation légale le contraint à les conserver).
Obligation d’alerte et de conseil
  • Accompagner, conseiller le client en matière de bon usage des informations traitées.
  • Alerter le client si les données présentent un risque.
  • Veiller à ce que le client (qui est responsable du traitement des données personnelles) réponde aux requêtes des personnes souhaitant exercer leurs droits en matière d’accès, de modification ou de suppression des données personnelles qu’il traite.
  • Avertir le client en cas de faille de sécurité.

↪ Seules les données strictement nécessaires à la réalisation de l’objectif doivent être collectées.

Minimisation

Obligations :

  • de limiter la collecte aux données pertinentes, adéquates et strictement nécessaires au regard de la finalité du traitement.
  • pour le responsable du traitement de prouver que le traitement mis en place est absolument nécessaire pour parvenir à l’objectif.
↬ Le traitement ne doit pas simplement être « utile »Critères d’appréciation :
  • Nature des données ;
  • Ampleur du traitement ;
  • Impact du traitement sur la vie privée des personnes concernées ;
  • Nombre de personnes ayant accès au traitement et facilité d'accès au traitement ;
  • Existence de garanties (limitation d'accès, pseudonymisation, ...).

Retour à la fiche 5 Conséquences | Sanctions /1

Conséquences | Sanctions /2

Conséquences | Sanctions

3

Santions successives prévues par la CNIL > croissantes & progressives

  • Avertissement | Rappel à l’ordre
  • Retrait d’une certification
  • Obligation du respect des droits > injonction de se mettre en conformité
  • Arrêt du traitement (temporaire ou définitif )
  • Interruption/blocage/suspension des échanges de données
  • Amende administrative
  • Procès
Les étapes de la procédure de sanctionPour aller plus loin

Conséquences | Sanctions

La CNIL propose une formation en ligne sur le RGPD ouverte à tous

← Conséquences | Sanctions /1

5

Qui est concerné ?

4

Qu’est-ce qu’un traitement de données personnelles ?

Qu’est-ce qu’une donnée personnelle ?

2

Qu’est-ce que le RGPD ?

1