Skip to Content
RGPDAccueil

RGPD — Devenir expert de la protection des données

⏱️ TL;DR — Le RGPD (Règlement général sur la protection des données, applicable depuis le 25 mai 2018) encadre la façon dont on collecte et utilise les données personnelles. Ce n’est ni « une bannière cookies », ni de la paperasse : c’est un cadre de confiance, une obligation légale (CNIL, amendes jusqu’à 20 M€ ou 4 % du CA mondial) et, pour un dev, surtout de l’architectureprivacy by design. Ce cours te mène du principe (les 6 principes, les bases légales, les droits) à la pratique (consentement, cookies, sécurité, violations, sous-traitance, transferts) puis au code (Next.js, IA) et à ton terrain de jeu : l’enseignement & la formation, un secteur où le RGPD est incontournable (mineurs, données scolaires, transferts). Objectif : que tu deviennes la personne « RGPD » de référence de ton équipe ou de ton établissement.

À qui s’adresse ce cours

À toi : un développeur web (Next.js / React / TypeScript, mais les principes valent partout) qui veut maîtriser le RGPD pour de vrai, pas juste « mettre un bandeau cookies et croiser les doigts ». Aucune connaissance juridique préalable n’est requise ; à la fin, tu sauras cartographier des traitements, choisir la bonne base légale, répondre à une demande de droit, notifier une violation, rédiger un registre et un contrat de sous-traitance, sécuriser des transferts et coder conforme.

💡 Le pari central de ce cours — Le RGPD n’est pas une couche juridique qu’on ajoute à la fin. C’est une conséquence de bonnes décisions de conception : ne collecter que le nécessaire, prévoir la durée de vie de la donnée, tracer les finalités, chiffrer, documenter. 80 % de la conformité, c’est « bien concevoir son produit ». Les 20 % restants (AIPD, transferts, sous-traitance, cas des mineurs) font l’expert. Ce cours couvre les deux.

Ce que tu sauras faire à la fin

  • Expliquer ce qu’est une donnée personnelle, un traitement, et qui est responsable de quoi (RT, sous-traitant, DPO, CNIL).
  • Maîtriser les 6 principes (art. 5) et choisir la base légale juste (art. 6) pour chaque finalité.
  • Traiter les cas délicats : données sensibles (art. 9) et mineurs (consentement à 15 ans en France).
  • Mettre en œuvre les droits des personnes (accès, effacement, portabilité, opposition…) et y répondre dans les délais.
  • Gérer consentement et cookies (ePrivacy, recommandation CNIL) sans se mettre hors-la-loi.
  • Assurer la transparence (mentions, politique de confidentialité) et la sécurité (art. 32).
  • Réagir à une violation de données : notifier la CNIL en 72 h, informer les personnes.
  • Documenter : registre (art. 30), AIPD (art. 35), privacy by design (art. 25).
  • Encadrer la sous-traitance (DPA, art. 28) et les transferts internationaux (CCT, Schrems II, Data Privacy Framework).
  • Appliquer tout ça dans le code (Next.js, IA) et dans l’enseignement/formation.

Le sommaire

#PartieCe que ça couvre
1Comprendre le RGPDDonnée personnelle, traitement, mythes, pourquoi ça compte.
2Cadre légal, CNIL & sanctionsRGPD, loi I&L, CNIL, CEPD, amendes, jurisprudence.
3Acteurs & rôlesResponsable, sous-traitant, responsables conjoints, DPO.
4Les bases légalesLes 6 bases de l’art. 6, comment choisir, intérêt légitime.
5Données sensibles & mineursArt. 9 & 10, santé, biométrie, âge du consentement.
6Les droits des personnesAccès, effacement, portabilité, opposition, profilage.
7Consentement & cookiesConsentement valide, ePrivacy, CMP, traceurs.
8Transparence & informationMentions, politique de confidentialité, langage clair.
9Sécurité des donnéesArt. 32, chiffrement, pseudonymisation, accès, journaux.
10Violations de donnéesDétecter, qualifier, notifier en 72 h, informer.
11Documenter & piloterRegistre, AIPD, privacy by design, gouvernance.
12Sous-traitance & contratsDPA (art. 28), chaîne de sous-traitants, SaaS & IA.
13Transferts internationauxAdéquation, CCT, Schrems II, DPF, cloud US.
14Le RGPD dans le codePrivacy by design en Next.js, rétention, logs, IA.
15Enseignement & formationÉlèves, mineurs, ENT/Moodle, organismes de formation.
16Cookbook & AnnexesModèles, checklists, glossaire, quiz.

Le fil rouge : FormaCampus

Tout au long du cours, on met en conformité FormaCampus — une EdTech française (SaaS Next.js) qui fait tourner un LMS pour écoles (données d’élèves mineurs) et un espace organisme de formation pour adultes (stagiaires). Son intérêt pédagogique : elle est tantôt responsable de traitement, tantôt sous-traitant des écoles et organismes qui lui confient les données de leurs apprenants — la dualité parfaite pour comprendre qui décide, qui exécute, qui répond. Chaque partie fait avancer sa conformité, dans l’encadré 🧭 Sur FormaCampus. L’exemple est volontairement de type EdTech, un secteur où le RGPD est légalement incontournable.

Comment lire ce cours

  • Dans l’ordre la première fois : chaque partie s’appuie sur la précédente (on ne parle pas d’AIPD avant d’avoir compris les bases légales et les acteurs).
  • En référence ensuite : le Cookbook & Annexes rassemble modèles (registre, DPA, mentions), checklists (demande de droit, notification 72 h) et glossaire.
  • Les mots ont un sens précis : responsable de traitement, sous-traitant, finalité, base légale, donnée sensible, violation ne sont pas interchangeables. Le cours les distingue rigoureusement.

⚠️ Piège — Le plus grand piège du RGPD, c’est de le réduire à un bandeau cookies ou à un document PDF qu’on rédige une fois. La conformité est un processus : elle vit dans ton schéma de données, tes durées de conservation, tes contrats, tes journaux et tes réflexes de dev. Ce cours t’apprend à l’intégrer, pas à la simuler.

💡 Source de vérité — On s’appuie sur le texte du RGPD (règlement (UE) 2016/679), la loi Informatique et Libertés et la CNIL. Le paysage bouge (proposition « Digital Omnibus » de fin 2025, appel en cours sur le Data Privacy Framework) : on te le signale, mais on enseigne le droit en vigueur et on renvoie à la source officielle (cnil.fr , edpb.europa.eu ).


Prêt ? On commence par le socle : comprendre ce qu’est vraiment le RGPD.

Last updated on