Skip to Content

Chapitre 16.5 — Quiz final

⏱️ TL;DR — Quinze questions pour valider tes acquis sur tout le cours : donnée personnelle, principes, bases légales, mineurs, droits, cookies, sécurité, violations, registre, AIPD, sous-traitance, transferts, IA et enseignement. Réponds de tête avant de déplier chaque solution. Si un point résiste, retourne à la partie concernée — le but n’est pas le score, c’est la maîtrise qui fait de toi le référent RGPD de ton équipe.

Le quiz

1. Qu’est-ce qu’une donnée personnelle ?

Toute information se rapportant à une personne physique identifiée ou identifiable : nom, e-mail, mais aussi identifiant, adresse IP, cookie, ou tout élément permettant de remonter à une personne, directement ou indirectement. Dès qu’on traite ce type de donnée, le RGPD s’applique. Voir Partie 1.

2. Cite les 6 principes de l’art. 5, et le principe qui les chapeaute.

Licéité/loyauté/transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité & confidentialité (sécurité). Au-dessus : la responsabilité (accountability, art. 5.2) — respecter ces principes et pouvoir le démontrer. Voir Partie 1.

3. Combien de bases légales existe-t-il, et selon quelle règle les choisit-on ?

Six (art. 6) : consentement, contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public, intérêt légitime. On en choisit une par finalité, avant le traitement ; elle n’est pas interchangeable après coup. Voir Partie 4.

4. À partir de quel âge un mineur peut-il consentir seul en France, et sinon ?

15 ans en France (art. 8, l’âge étant fixé par chaque État). En dessous, il faut le consentement conjoint d’un titulaire de l’autorité parentale. Voir Partie 5.

5. Pour une donnée sensible (art. 9), une base légale de l’art. 6 suffit-elle ?

Non. Les catégories particulières (santé, biométrie, opinions, orientation sexuelle…) sont interdites de principe : il faut, en plus d’une base de l’art. 6, une exception de l’art. 9 — souvent le consentement explicite. Voir Partie 5.

6. Cite trois droits des personnes et le délai de réponse.

Parmi : accès (art. 15), rectification (16), effacement (17), limitation (18), portabilité (20), opposition (21), décision automatisée (22), sans oublier l’information (13/14). Réponse due sous 1 mois, prolongeable de 2 mois si complexe, gratuite par principe. Voir Partie 6.

7. Pour déposer des cookies non essentiels, que faut-il, et refuser doit-il être plus dur qu’accepter ?

Il faut le consentement préalable (acte positif clair, pas de cases pré-cochées — arrêt Planet49). Et non : selon la recommandation CNIL 2020, refuser doit être aussi simple qu’accepter. Les traceurs strictement nécessaires (et la mesure d’audience bien configurée) sont exemptés. Voir Partie 7.

8. Que demande l’art. 32 sur la sécurité ?

Des mesures techniques et organisationnelles appropriées au risque : chiffrement, pseudonymisation, garantie de confidentialité/intégrité/disponibilité/résilience, et tests réguliers. Ce n’est pas une liste figée : on adapte au risque du traitement. Voir Partie 9.

9. Sous quel délai notifie-t-on une violation, et quand informe-t-on les personnes ?

Notification à la CNIL dans les 72 heures après en avoir pris connaissance, dès qu’il y a un risque pour les personnes (art. 33). Si le risque est élevé, on informe aussi les personnes concernées (art. 34). Et toutes les violations vont au registre interne, même non notifiées. Voir Partie 10.

10. Qu’est-ce que le registre (art. 30) et à quoi sert-il ?

La cartographie documentée de tous tes traitements : finalité, base légale, catégories de données et de personnes, destinataires, transferts, durées, mesures de sécurité. C’est l’outil central de l’accountability — il prouve ta conformité et sert de source de vérité aux mentions et aux DPA. Voir Partie 11.

11. Quand une AIPD (art. 35) est-elle obligatoire ?

Quand un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (liste de la CNIL + critères du CEPD) : par exemple suivi systématique à grande échelle, données sensibles ou de mineurs à grande échelle, décisions automatisées à effet significatif. En cas de risque résiduel élevé, consultation préalable de la CNIL (art. 36). Voir Partie 11.

12. Responsable ou sous-traitant : qui signe un DPA, et pourquoi ?

Le responsable (RT) détermine finalités et moyens ; le sous-traitant (ST) agit pour son compte sur instruction documentée. Les deux signent un DPA (art. 28) : contrat écrit obligatoire qui encadre sécurité, sous-traitance ultérieure, assistance et sort des données. FormaCampus est tantôt RT (son site), tantôt ST (données des apprenants d’une école). Voir Partie 12.

13. Qu’a changé l’arrêt Schrems II, et qu’est-ce que le DPF ?

Schrems II (2020) a invalidé le Privacy Shield et maintenu les CCT, mais en imposant une analyse d’impact du transfert (TIA) au cas par cas. Le Data Privacy Framework (adéquation UE–USA du 10 juillet 2023) permet à nouveau de transférer vers les entreprises US certifiées — cadre valide mais fragile (appel Latombe en cours), donc on garde CCT + TIA en filet. Voir Partie 13.

14. Un modèle d’IA traite des données personnelles : que faut-il vérifier ?

Les mêmes réflexes, appliqués à l’IA : une finalité claire et une base légale, la minimisation des données envoyées, un DPA avec le fournisseur (pas de réutilisation des données pour entraîner un modèle sans base), la localisation et les transferts éventuels, et une AIPD si le risque est élevé. Le RGPD se combine à l’AI Act dès qu’il y a des données personnelles. Voir Partie 14.

15. Pourquoi le RGPD est-il incontournable dans l’enseignement et la formation ?

Parce qu’on y traite des mineurs, des données potentiellement sensibles (aménagements, santé), des données scolaires et de suivi, souvent via des sous-traitants (ENT, Moodle, outils SaaS) et parfois des transferts hors UE. La dualité responsable/sous-traitant y est constante (l’école reste responsable, la plateforme est souvent sous-traitante). Voir Partie 15.

Le mot de la fin

Si tu ne retiens que trois choses de tout ce cours :

  1. Le RGPD, c’est de l’architecture, pas de la paperasse. 80 % de la conformité, c’est bien concevoir : ne collecter que le nécessaire, prévoir la durée de vie de la donnée, chiffrer, tracer les finalités. Le reste (AIPD, transferts, mineurs) fait l’expert — mais la fondation, c’est du bon design produit.
  2. La base légale vient AVANT le traitement. Une base par finalité, choisie et documentée avant de coder, jamais rafistolée après coup. C’est la question qui doit précéder toute nouvelle fonctionnalité.
  3. Documenter, c’est prouver. L’accountability (art. 5.2) change tout : registre, mentions, DPA, traces de consentement, journal des demandes. Si tu ne peux pas le montrer, c’est comme si tu ne l’avais pas fait.

Tu as désormais de quoi cartographier, décider (base légale, AIPD, transfert, notification), documenter (registre, DPA, mentions) et coder conforme — bref, devenir la personne « RGPD » de référence de ton équipe ou de ton établissement. Dans un secteur comme l’EdTech, où les mineurs, les données sensibles et les transferts sont partout, c’est une compétence rare et recherchée.

🧭 Sur FormaCampus — Au fil du cours, FormaCampus est passée d’une conformité de façade (« on a mis une bannière cookies ») à une vraie hygiène des données : une base légale par finalité, un registre vivant, des DPA signés, des transferts encadrés, une aide IA maîtrisée. Le même chemin t’attend sur tes projets — une partie à la fois, en construisant bien plutôt qu’en réparant tard.


Fin du cours. Retour à l’accueil RGPD. Pour transformer cette expertise en revenu — audits, mises en conformité, formation — va voir Monétiser (Dev + IA) ; et pour l’autre pilier légal du web, l’accessibilité. Maintenant, va rendre les traitements de ton équipe dignes de confiance.

Last updated on