RGPD — Devenir expert de la protection des données
⏱️ TL;DR — Le RGPD (Règlement général sur la protection des données, applicable depuis le 25 mai 2018) encadre la façon dont on collecte et utilise les données personnelles. Ce n’est ni « une bannière cookies », ni de la paperasse : c’est un cadre de confiance, une obligation légale (CNIL, amendes jusqu’à 20 M€ ou 4 % du CA mondial) et, pour un dev, surtout de l’architecture — privacy by design. Ce cours te mène du principe (les 6 principes, les bases légales, les droits) à la pratique (consentement, cookies, sécurité, violations, sous-traitance, transferts) puis au code (Next.js, IA) et à ton terrain de jeu : l’enseignement & la formation, un secteur où le RGPD est incontournable (mineurs, données scolaires, transferts). Objectif : que tu deviennes la personne « RGPD » de référence de ton équipe ou de ton établissement.
À qui s’adresse ce cours
À toi : un développeur web (Next.js / React / TypeScript, mais les principes valent partout) qui veut maîtriser le RGPD pour de vrai, pas juste « mettre un bandeau cookies et croiser les doigts ». Aucune connaissance juridique préalable n’est requise ; à la fin, tu sauras cartographier des traitements, choisir la bonne base légale, répondre à une demande de droit, notifier une violation, rédiger un registre et un contrat de sous-traitance, sécuriser des transferts et coder conforme.
💡 Le pari central de ce cours — Le RGPD n’est pas une couche juridique qu’on ajoute à la fin. C’est une conséquence de bonnes décisions de conception : ne collecter que le nécessaire, prévoir la durée de vie de la donnée, tracer les finalités, chiffrer, documenter. 80 % de la conformité, c’est « bien concevoir son produit ». Les 20 % restants (AIPD, transferts, sous-traitance, cas des mineurs) font l’expert. Ce cours couvre les deux.
Ce que tu sauras faire à la fin
- Expliquer ce qu’est une donnée personnelle, un traitement, et qui est responsable de quoi (RT, sous-traitant, DPO, CNIL).
- Maîtriser les 6 principes (art. 5) et choisir la base légale juste (art. 6) pour chaque finalité.
- Traiter les cas délicats : données sensibles (art. 9) et mineurs (consentement à 15 ans en France).
- Mettre en œuvre les droits des personnes (accès, effacement, portabilité, opposition…) et y répondre dans les délais.
- Gérer consentement et cookies (ePrivacy, recommandation CNIL) sans se mettre hors-la-loi.
- Assurer la transparence (mentions, politique de confidentialité) et la sécurité (art. 32).
- Réagir à une violation de données : notifier la CNIL en 72 h, informer les personnes.
- Documenter : registre (art. 30), AIPD (art. 35), privacy by design (art. 25).
- Encadrer la sous-traitance (DPA, art. 28) et les transferts internationaux (CCT, Schrems II, Data Privacy Framework).
- Appliquer tout ça dans le code (Next.js, IA) et dans l’enseignement/formation.
Le sommaire
| # | Partie | Ce que ça couvre |
|---|---|---|
| 1 | Comprendre le RGPD | Donnée personnelle, traitement, mythes, pourquoi ça compte. |
| 2 | Cadre légal, CNIL & sanctions | RGPD, loi I&L, CNIL, CEPD, amendes, jurisprudence. |
| 3 | Acteurs & rôles | Responsable, sous-traitant, responsables conjoints, DPO. |
| 4 | Les bases légales | Les 6 bases de l’art. 6, comment choisir, intérêt légitime. |
| 5 | Données sensibles & mineurs | Art. 9 & 10, santé, biométrie, âge du consentement. |
| 6 | Les droits des personnes | Accès, effacement, portabilité, opposition, profilage. |
| 7 | Consentement & cookies | Consentement valide, ePrivacy, CMP, traceurs. |
| 8 | Transparence & information | Mentions, politique de confidentialité, langage clair. |
| 9 | Sécurité des données | Art. 32, chiffrement, pseudonymisation, accès, journaux. |
| 10 | Violations de données | Détecter, qualifier, notifier en 72 h, informer. |
| 11 | Documenter & piloter | Registre, AIPD, privacy by design, gouvernance. |
| 12 | Sous-traitance & contrats | DPA (art. 28), chaîne de sous-traitants, SaaS & IA. |
| 13 | Transferts internationaux | Adéquation, CCT, Schrems II, DPF, cloud US. |
| 14 | Le RGPD dans le code | Privacy by design en Next.js, rétention, logs, IA. |
| 15 | Enseignement & formation | Élèves, mineurs, ENT/Moodle, organismes de formation. |
| 16 | Cookbook & Annexes | Modèles, checklists, glossaire, quiz. |
Le fil rouge : FormaCampus
Tout au long du cours, on met en conformité FormaCampus — une EdTech française (SaaS Next.js) qui fait tourner un LMS pour écoles (données d’élèves mineurs) et un espace organisme de formation pour adultes (stagiaires). Son intérêt pédagogique : elle est tantôt responsable de traitement, tantôt sous-traitant des écoles et organismes qui lui confient les données de leurs apprenants — la dualité parfaite pour comprendre qui décide, qui exécute, qui répond. Chaque partie fait avancer sa conformité, dans l’encadré 🧭 Sur FormaCampus. L’exemple est volontairement de type EdTech, un secteur où le RGPD est légalement incontournable.
Comment lire ce cours
- Dans l’ordre la première fois : chaque partie s’appuie sur la précédente (on ne parle pas d’AIPD avant d’avoir compris les bases légales et les acteurs).
- En référence ensuite : le Cookbook & Annexes rassemble modèles (registre, DPA, mentions), checklists (demande de droit, notification 72 h) et glossaire.
- Les mots ont un sens précis : responsable de traitement, sous-traitant, finalité, base légale, donnée sensible, violation ne sont pas interchangeables. Le cours les distingue rigoureusement.
⚠️ Piège — Le plus grand piège du RGPD, c’est de le réduire à un bandeau cookies ou à un document PDF qu’on rédige une fois. La conformité est un processus : elle vit dans ton schéma de données, tes durées de conservation, tes contrats, tes journaux et tes réflexes de dev. Ce cours t’apprend à l’intégrer, pas à la simuler.
💡 Source de vérité — On s’appuie sur le texte du RGPD (règlement (UE) 2016/679), la loi Informatique et Libertés et la CNIL. Le paysage bouge (proposition « Digital Omnibus » de fin 2025, appel en cours sur le Data Privacy Framework) : on te le signale, mais on enseigne le droit en vigueur et on renvoie à la source officielle (cnil.fr , edpb.europa.eu ).
Prêt ? On commence par le socle : comprendre ce qu’est vraiment le RGPD.