Chapitre 16.3 — Cheatsheet des articles clés
⏱️ TL;DR — La feuille de triche à garder ouverte : un grand tableau article → sujet du RGPD (de l’art. 4 « définitions » à l’art. 83 « amendes »), le barème des sanctions (les deux paliers 10 M€ / 2 % et 20 M€ / 4 %), et le mémo des délais (72 h pour notifier une violation, 1 mois pour répondre à une demande de droit). Rien ici ne remplace les parties du cours — c’est un rappel condensé pour retrouver le bon article en une seconde.
Le tableau des articles clés
Chaque ligne renvoie vers la partie qui développe le sujet. Les numéros sont ceux du RGPD (règlement (UE) 2016/679).
| Article(s) | Sujet | Où c’est traité |
|---|---|---|
| art. 3 | Champ d’application territorial : établissement dans l’UE ou ciblage/suivi de personnes situées dans l’UE (extraterritorialité) | Partie 1 |
| art. 4 | Définitions : donnée personnelle, traitement, responsable, sous-traitant, consentement… | Partie 1 |
| art. 5 | Les 6 principes (licéité, finalités, minimisation, exactitude, conservation, sécurité) ; art. 5.2 = responsabilité (accountability) | Partie 1 |
| art. 6 | Les 6 bases légales (consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêt légitime) | Partie 4 |
| art. 7 | Conditions du consentement (démontrable, aussi facile à retirer qu’à donner) | Partie 7 |
| art. 8 | Consentement des mineurs (âge fixé par État ; 15 ans en France) | Partie 5 |
| art. 9 | Catégories particulières (données sensibles : santé, biométrie, opinions…) — interdiction de principe sauf exceptions | Partie 5 |
| art. 10 | Données relatives aux condamnations et infractions | Partie 5 |
| art. 12-22 | Droits des personnes (voir le mémo détaillé ci-dessous) | Partie 6 |
| art. 25 | Protection des données dès la conception & par défaut (privacy by design/by default) | Partie 11 · Partie 14 |
| art. 26 | Responsables conjoints (deux organismes déterminent ensemble finalités et moyens) | Partie 3 |
| art. 28 | Sous-traitance : contrat écrit (DPA), instruction documentée | Partie 12 |
| art. 30 | Registre des activités de traitement | Partie 11 |
| art. 32 | Sécurité : mesures techniques et organisationnelles appropriées au risque | Partie 9 |
| art. 33-34 | Violations : notification à la CNIL (33) ; communication aux personnes si risque élevé (34) | Partie 10 |
| art. 35-36 | AIPD (analyse d’impact) si risque élevé (35) ; consultation préalable de la CNIL (36) | Partie 11 |
| art. 37-39 | DPO (délégué à la protection des données) : désignation, missions, positionnement | Partie 3 |
| art. 44-49 | Transferts hors UE : principe (44), adéquation (45), garanties/CCT (46), dérogations (49) | Partie 13 |
| art. 82 | Droit à réparation du préjudice subi | Partie 2 |
| art. 83 | Amendes administratives (les deux paliers, voir ci-dessous) | Partie 2 |
📚 Cookies : pas dans un article du RGPD — Les cookies et traceurs relèvent de la directive ePrivacy 2002/58/CE, transposée à l’art. 82 de la loi Informatique et Libertés (à ne pas confondre avec l’art. 82 du RGPD) et précisée par la recommandation CNIL 2020. Détail en Partie 7.
Les droits des personnes, article par article (art. 12-22)
| Droit | Article |
|---|---|
| Information (collecte directe) | art. 13 |
| Information (collecte indirecte) | art. 14 |
| Accès à ses données | art. 15 |
| Rectification | art. 16 |
| Effacement (« droit à l’oubli ») | art. 17 |
| Limitation du traitement | art. 18 |
| Notification aux tiers (rectif./effacement/limitation) | art. 19 |
| Portabilité | art. 20 |
| Opposition | art. 21 |
| Décision individuelle automatisée & profilage | art. 22 |
Modalités générales à l’art. 12 : réponse gratuite par principe, dans un délai d’un mois (voir le mémo des délais).
Le barème des sanctions (art. 83)
Deux paliers ; c’est le montant le plus élevé (plafond fixe ou pourcentage du chiffre d’affaires annuel mondial) qui s’applique.
| Palier | Plafond | Manquements visés (exemples) |
|---|---|---|
| Palier 1 | jusqu’à 10 M€ ou 2 % du CA annuel mondial | Obligations « techniques » : registre (art. 30), sécurité (art. 32), sous-traitance (art. 28), notification des violations, AIPD |
| Palier 2 | jusqu’à 20 M€ ou 4 % du CA annuel mondial | Principes (art. 5), bases légales (art. 6), conditions du consentement (art. 7), droits des personnes (art. 12-22), transferts (chap. V) |
À l’amende s’ajoutent des mesures correctrices (mise en demeure, injonction sous astreinte, limitation ou suspension du traitement).
📚 Le texte & les exemples — Barème à l’art. 83. Ordre de grandeur réel (plan cookies de la CNIL, 3 septembre 2025) : Google 325 M€, Shein 150 M€ (dont transferts hors UE non encadrés) — une année record. Détail en Partie 2.
Le mémo des délais
Les deux compteurs à ne jamais rater :
| Délai | Quoi | Article |
|---|---|---|
| 72 heures | Notifier une violation à la CNIL, après en avoir pris connaissance, dès qu’il y a un risque pour les personnes (notification par étapes possible) | art. 33 |
| 1 mois | Répondre à une demande de droit ; prolongeable de 2 mois si la demande est complexe (avec information dans le premier mois) | art. 12 |
⚠️ Piège — Les 72 h se comptent en heures calendaires, week-end compris, à partir de la prise de connaissance de la violation — pas à partir du lundi suivant. Prépare le circuit d’alerte avant l’incident. Voir Partie 10.
🧭 Sur FormaCampus — Cette cheatsheet est épinglée dans le wiki de l’équipe. Quand un dev hésite (« c’est quel article, la portabilité ? », « on notifie sous combien de temps ? »), il regarde ici avant de déranger le DPO. Les articles cessent d’être un maquis dès qu’on a la carte.
Chapitre suivant : Glossaire & ressources — les termes du domaine et les sources officielles.