Règlement Général sur la Protection des Données
Obligations des entreprises
Activez le son pour une meilleure expérience apprenante !
Démarches à réaliser
Uniformise et simplifie les règles
Responsabilise les organismes
- assurent leur conformité et peuvent en apporter la preuve
- pouvoirs de sanctions renforcés
Obligations des entreprises
Principe d'accountability
Privacy by design
Privacy by default
Apporter la preuve que les mesures appropriées ont été prises
Auditer les mesures prises dans le cadre d'un contrôle continu
Mettre en oeuvre une analyse d'impact
Le DPO : désignation
Obligation de désignation
Pour les responsables de traitement (ou leur sous-traitant) :
Data Protection Officer
- S’ils appartiennent au secteur public
- Si leurs activités principales les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle
- Si leurs activités principales les amènent à traiter des données dites « sensibles » ou relatives à des condamnations pénales et infractions
Le DPO : missions
Informer et conseiller
Data Protection Officer
Veiller au respect du RGPD et du droit national en matière de protection des données
Accompagner la réalisation d'analyses d'impact sur la protection des données (AIPD)
Coopérer avec la CNIL et en être l'interlocuteur privilégié
Structurer et faire vivre la démarche de conformité dans la durée
A vous de jouer !
A vous de jouer !
Merci !
Vous avez terminé cette activité, vous pouvez poursuivre votre nagivation !(fermez cette fenêtre à l'aide de la croix en haut à droite) Votre prochaine étape : le module 6 "Procédure de contrôle et de sanction de la CNIL"
Vous retrouverez les informations essentielles dans votre mémo transmis par mail à la fin de votre parcours
Principe d'accountability :
Le principe d’accountability (auto-responsabilisation) désigne l’obligation pour les entreprises de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que les traitements des données à caractère personnel sont effectués conformément au règlement. Les entreprises doivent ainsi déployer un processus permanent et dynamique de mise en conformité de l’entreprise à la réglementation « informatique et libertés », notamment grâce à un ensemble de règles contraignantes, d’outils et de bonnes pratiques.
Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
Mettre en place une analyse d'impact
Le RGPD prévoit que lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes une analyse d’impact des opérations de traitement sur la protection des données à caractère personnel doit être effectuée.
Son objectif est d’identifier ces risques, déterminer les mesures appropriées à mettre en place afin de les maîtriser et démontrer que le traitement des données respecte le règlement.
Si, malgré les mesures envisagées, un risque élevé subsiste, l’organisme doit consulter la CNIL et lui communiquer l’analyse d’impact avant la mise en place du traitement.
Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
Auditer les mesures prises dans le cadre d'un contrôle continu :
Auditer les mesures prises dans le cadre d’un contrôle continu, permet de vérifier l’efficacité des mesures et de les actualiser afin d’assurer leur conformité compte tenu de l’évolution des traitements, de leurs finalités, des exigences réglementaires ou tout simplement du retour d’expérience. Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
Ce n'est pas la bonne réponse... Une analyse d'impact est requise lorsque le traitement présente des risques élevés pour les droits des personnes.
Tout à fait ! Le privacy by default garantit que le niveau de protection le plus élevé s’applique automatiquement, sans intervention de l’utilisateur. Seules les données nécessaires doivent être collectées et accessibles par défaut.
Privacy by default :
La « Privacy by default » consiste à prendre les mesures techniques et organisationnelles appropriées pour garantir que par défaut, seules les données qui sont nécessaires au regard de la finalité spécifique du traitement sont collectées et utilisées. Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
Tracfin est un service de renseignement financier placé sous l’autorité du ministère de l’Économie. Il n’a pas de pouvoir de sanction directe mais joue un rôle central dans la détection et l’analyse des flux financiers suspects, qu’il peut transmettre à l’autorité judiciaire ou à d’autres services de l’État.
Tout à fait ! Une analyse d'imact est requise lorsque le traitement présente des risques élevés pour les droits des personnes.
Ce n'est pas la bonne réponse... Ce principe signifie que les entreprises doivent pouvoir prouver leur conformité à tout moment.
Voyons quelles obligations concrètes permettent d’y parvenir.
Privacy by design :
Le concept consiste en la nécessité de prendre les mesures appropriées pour concrètement tenir compte de la protection des données dans les projets depuis leur origine, et de s’assurer de la conformité des produits et services proposés aux dispositions « informatique et libertés » tout au long de leur cycle de vie.L’objectif est d’anticiper les contraintes et de traiter les questions relatives à la protection des données lors de la détermination du traitement pour qu'elles soient intégrées de manière effective lors de la mise en œuvre du traitement. Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
Tracfin est un service de renseignement financier placé sous l’autorité du ministère de l’Économie. Il n’a pas de pouvoir de sanction directe mais joue un rôle central dans la détection et l’analyse des flux financiers suspects, qu’il peut transmettre à l’autorité judiciaire ou à d’autres services de l’État.
Tracfin est un service de renseignement financier placé sous l’autorité du ministère de l’Économie. Il n’a pas de pouvoir de sanction directe mais joue un rôle central dans la détection et l’analyse des flux financiers suspects, qu’il peut transmettre à l’autorité judiciaire ou à d’autres services de l’État.
Ce n'est pas la bonne réponse... Le principe de privacy by default impose que seules les données strictement nécessaires soient collectées et accessibles dès le départ, sans action de l’utilisateur. La protection des données ne doit pas dépendre d’un paramétrage ultérieur.
C'est la bonne réponse ! Les entreprises doivent pouvoir prouver leur conformité à tout moment.
Voyons quelles obligations concrètes permettent d’y parvenir.
Apporter la preuve que les mesures appropriées ont été prises :
La conformité doit pouvoir être démontrée à tout moment. Cela passe notamment par la tenue d’un registre des traitements, obligatoire pour la plupart des organismes, mais aussi par la conservation de documents permettant d’attester des mesures mises en place : politiques internes (politique de protection des données, politique de confidentialité...), procédures (procédure de gestion des droits...), description des mesures de sécurité, actions de formation et de sensibilisation, ou encore analyses d’impact lorsque celles-ci sont requises. Consultable à tout moment par la CNIL, ce registre des traitements comporte, entre autres :
- Le nom et les coordonnées du responsable du traitement
- Le type de destinataire auquel les données ont été ou seront communiquées
- La finalité du traitement (démarchage commercial, analyse statistique)
- Les durées de conservation des données...
Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
RGPD M5 Obligations des entreprises
Unéo Formation
Created on February 5, 2026
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Essential Course
View
Practical Course
View
Basic Interactive Course
View
Course 3D Style
View
Minimal Course
View
Neodigital CPD Course
View
Laws and Regulations Course
Explore all templates
Transcript
Règlement Général sur la Protection des Données
Obligations des entreprises
Activez le son pour une meilleure expérience apprenante !
Démarches à réaliser
Uniformise et simplifie les règles
Responsabilise les organismes
Obligations des entreprises
Principe d'accountability
Privacy by design
Privacy by default
Apporter la preuve que les mesures appropriées ont été prises
Auditer les mesures prises dans le cadre d'un contrôle continu
Mettre en oeuvre une analyse d'impact
Le DPO : désignation
Obligation de désignation
Pour les responsables de traitement (ou leur sous-traitant) :
Data Protection Officer
Le DPO : missions
Informer et conseiller
Data Protection Officer
Veiller au respect du RGPD et du droit national en matière de protection des données
Accompagner la réalisation d'analyses d'impact sur la protection des données (AIPD)
Coopérer avec la CNIL et en être l'interlocuteur privilégié
Structurer et faire vivre la démarche de conformité dans la durée
A vous de jouer !
A vous de jouer !
Merci !
Vous avez terminé cette activité, vous pouvez poursuivre votre nagivation !(fermez cette fenêtre à l'aide de la croix en haut à droite) Votre prochaine étape : le module 6 "Procédure de contrôle et de sanction de la CNIL"
Vous retrouverez les informations essentielles dans votre mémo transmis par mail à la fin de votre parcours
Principe d'accountability :
Le principe d’accountability (auto-responsabilisation) désigne l’obligation pour les entreprises de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que les traitements des données à caractère personnel sont effectués conformément au règlement. Les entreprises doivent ainsi déployer un processus permanent et dynamique de mise en conformité de l’entreprise à la réglementation « informatique et libertés », notamment grâce à un ensemble de règles contraignantes, d’outils et de bonnes pratiques. Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
Mettre en place une analyse d'impact
Le RGPD prévoit que lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes une analyse d’impact des opérations de traitement sur la protection des données à caractère personnel doit être effectuée. Son objectif est d’identifier ces risques, déterminer les mesures appropriées à mettre en place afin de les maîtriser et démontrer que le traitement des données respecte le règlement. Si, malgré les mesures envisagées, un risque élevé subsiste, l’organisme doit consulter la CNIL et lui communiquer l’analyse d’impact avant la mise en place du traitement. Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
Auditer les mesures prises dans le cadre d'un contrôle continu :
Auditer les mesures prises dans le cadre d’un contrôle continu, permet de vérifier l’efficacité des mesures et de les actualiser afin d’assurer leur conformité compte tenu de l’évolution des traitements, de leurs finalités, des exigences réglementaires ou tout simplement du retour d’expérience. Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
Ce n'est pas la bonne réponse... Une analyse d'impact est requise lorsque le traitement présente des risques élevés pour les droits des personnes.
Tout à fait ! Le privacy by default garantit que le niveau de protection le plus élevé s’applique automatiquement, sans intervention de l’utilisateur. Seules les données nécessaires doivent être collectées et accessibles par défaut.
Privacy by default :
La « Privacy by default » consiste à prendre les mesures techniques et organisationnelles appropriées pour garantir que par défaut, seules les données qui sont nécessaires au regard de la finalité spécifique du traitement sont collectées et utilisées. Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
Tracfin est un service de renseignement financier placé sous l’autorité du ministère de l’Économie. Il n’a pas de pouvoir de sanction directe mais joue un rôle central dans la détection et l’analyse des flux financiers suspects, qu’il peut transmettre à l’autorité judiciaire ou à d’autres services de l’État.
Tout à fait ! Une analyse d'imact est requise lorsque le traitement présente des risques élevés pour les droits des personnes.
Ce n'est pas la bonne réponse... Ce principe signifie que les entreprises doivent pouvoir prouver leur conformité à tout moment. Voyons quelles obligations concrètes permettent d’y parvenir.
Privacy by design :
Le concept consiste en la nécessité de prendre les mesures appropriées pour concrètement tenir compte de la protection des données dans les projets depuis leur origine, et de s’assurer de la conformité des produits et services proposés aux dispositions « informatique et libertés » tout au long de leur cycle de vie.L’objectif est d’anticiper les contraintes et de traiter les questions relatives à la protection des données lors de la détermination du traitement pour qu'elles soient intégrées de manière effective lors de la mise en œuvre du traitement. Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !
Tracfin est un service de renseignement financier placé sous l’autorité du ministère de l’Économie. Il n’a pas de pouvoir de sanction directe mais joue un rôle central dans la détection et l’analyse des flux financiers suspects, qu’il peut transmettre à l’autorité judiciaire ou à d’autres services de l’État.
Tracfin est un service de renseignement financier placé sous l’autorité du ministère de l’Économie. Il n’a pas de pouvoir de sanction directe mais joue un rôle central dans la détection et l’analyse des flux financiers suspects, qu’il peut transmettre à l’autorité judiciaire ou à d’autres services de l’État.
Ce n'est pas la bonne réponse... Le principe de privacy by default impose que seules les données strictement nécessaires soient collectées et accessibles dès le départ, sans action de l’utilisateur. La protection des données ne doit pas dépendre d’un paramétrage ultérieur.
C'est la bonne réponse ! Les entreprises doivent pouvoir prouver leur conformité à tout moment. Voyons quelles obligations concrètes permettent d’y parvenir.
Apporter la preuve que les mesures appropriées ont été prises :
La conformité doit pouvoir être démontrée à tout moment. Cela passe notamment par la tenue d’un registre des traitements, obligatoire pour la plupart des organismes, mais aussi par la conservation de documents permettant d’attester des mesures mises en place : politiques internes (politique de protection des données, politique de confidentialité...), procédures (procédure de gestion des droits...), description des mesures de sécurité, actions de formation et de sensibilisation, ou encore analyses d’impact lorsque celles-ci sont requises. Consultable à tout moment par la CNIL, ce registre des traitements comporte, entre autres :
- Le nom et les coordonnées du responsable du traitement
- Le type de destinataire auquel les données ont été ou seront communiquées
- La finalité du traitement (démarchage commercial, analyse statistique)
- Les durées de conservation des données...
Besoin d'un exemple ? cliquez sur l'élément interactif ci-dessous !