Skip to Content
RGPDPartie 16 — Cookbook & Annexes16.3 — Cheatsheet des articles clés

Chapitre 16.3 — Cheatsheet des articles clés

⏱️ TL;DR — La feuille de triche à garder ouverte : un grand tableau article → sujet du RGPD (de l’art. 4 « définitions » à l’art. 83 « amendes »), le barème des sanctions (les deux paliers 10 M€ / 2 % et 20 M€ / 4 %), et le mémo des délais (72 h pour notifier une violation, 1 mois pour répondre à une demande de droit). Rien ici ne remplace les parties du cours — c’est un rappel condensé pour retrouver le bon article en une seconde.

Le tableau des articles clés

Chaque ligne renvoie vers la partie qui développe le sujet. Les numéros sont ceux du RGPD (règlement (UE) 2016/679).

Article(s)SujetOù c’est traité
art. 3Champ d’application territorial : établissement dans l’UE ou ciblage/suivi de personnes situées dans l’UE (extraterritorialité)Partie 1
art. 4Définitions : donnée personnelle, traitement, responsable, sous-traitant, consentement…Partie 1
art. 5Les 6 principes (licéité, finalités, minimisation, exactitude, conservation, sécurité) ; art. 5.2 = responsabilité (accountability)Partie 1
art. 6Les 6 bases légales (consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêt légitime)Partie 4
art. 7Conditions du consentement (démontrable, aussi facile à retirer qu’à donner)Partie 7
art. 8Consentement des mineurs (âge fixé par État ; 15 ans en France)Partie 5
art. 9Catégories particulières (données sensibles : santé, biométrie, opinions…) — interdiction de principe sauf exceptionsPartie 5
art. 10Données relatives aux condamnations et infractionsPartie 5
art. 12-22Droits des personnes (voir le mémo détaillé ci-dessous)Partie 6
art. 25Protection des données dès la conception & par défaut (privacy by design/by default)Partie 11 · Partie 14
art. 26Responsables conjoints (deux organismes déterminent ensemble finalités et moyens)Partie 3
art. 28Sous-traitance : contrat écrit (DPA), instruction documentéePartie 12
art. 30Registre des activités de traitementPartie 11
art. 32Sécurité : mesures techniques et organisationnelles appropriées au risquePartie 9
art. 33-34Violations : notification à la CNIL (33) ; communication aux personnes si risque élevé (34)Partie 10
art. 35-36AIPD (analyse d’impact) si risque élevé (35) ; consultation préalable de la CNIL (36)Partie 11
art. 37-39DPO (délégué à la protection des données) : désignation, missions, positionnementPartie 3
art. 44-49Transferts hors UE : principe (44), adéquation (45), garanties/CCT (46), dérogations (49)Partie 13
art. 82Droit à réparation du préjudice subiPartie 2
art. 83Amendes administratives (les deux paliers, voir ci-dessous)Partie 2

📚 Cookies : pas dans un article du RGPD — Les cookies et traceurs relèvent de la directive ePrivacy 2002/58/CE, transposée à l’art. 82 de la loi Informatique et Libertés (à ne pas confondre avec l’art. 82 du RGPD) et précisée par la recommandation CNIL 2020. Détail en Partie 7.

Les droits des personnes, article par article (art. 12-22)

DroitArticle
Information (collecte directe)art. 13
Information (collecte indirecte)art. 14
Accès à ses donnéesart. 15
Rectificationart. 16
Effacement (« droit à l’oubli »)art. 17
Limitation du traitementart. 18
Notification aux tiers (rectif./effacement/limitation)art. 19
Portabilitéart. 20
Oppositionart. 21
Décision individuelle automatisée & profilageart. 22

Modalités générales à l’art. 12 : réponse gratuite par principe, dans un délai d’un mois (voir le mémo des délais).

Le barème des sanctions (art. 83)

Deux paliers ; c’est le montant le plus élevé (plafond fixe ou pourcentage du chiffre d’affaires annuel mondial) qui s’applique.

PalierPlafondManquements visés (exemples)
Palier 1jusqu’à 10 M€ ou 2 % du CA annuel mondialObligations « techniques » : registre (art. 30), sécurité (art. 32), sous-traitance (art. 28), notification des violations, AIPD
Palier 2jusqu’à 20 M€ ou 4 % du CA annuel mondialPrincipes (art. 5), bases légales (art. 6), conditions du consentement (art. 7), droits des personnes (art. 12-22), transferts (chap. V)

À l’amende s’ajoutent des mesures correctrices (mise en demeure, injonction sous astreinte, limitation ou suspension du traitement).

📚 Le texte & les exemples — Barème à l’art. 83. Ordre de grandeur réel (plan cookies de la CNIL, 3 septembre 2025) : Google 325 M€, Shein 150 M€ (dont transferts hors UE non encadrés) — une année record. Détail en Partie 2.

Le mémo des délais

Les deux compteurs à ne jamais rater :

DélaiQuoiArticle
72 heuresNotifier une violation à la CNIL, après en avoir pris connaissance, dès qu’il y a un risque pour les personnes (notification par étapes possible)art. 33
1 moisRépondre à une demande de droit ; prolongeable de 2 mois si la demande est complexe (avec information dans le premier mois)art. 12

⚠️ Piège — Les 72 h se comptent en heures calendaires, week-end compris, à partir de la prise de connaissance de la violation — pas à partir du lundi suivant. Prépare le circuit d’alerte avant l’incident. Voir Partie 10.

🧭 Sur FormaCampus — Cette cheatsheet est épinglée dans le wiki de l’équipe. Quand un dev hésite (« c’est quel article, la portabilité ? », « on notifie sous combien de temps ? »), il regarde ici avant de déranger le DPO. Les articles cessent d’être un maquis dès qu’on a la carte.


Chapitre suivant : Glossaire & ressources — les termes du domaine et les sources officielles.

Last updated on