A. 1er janvier 2018
B. 25 mai 2018
C. 1er juin 2019
D. 31 décembre 2017
A. Interdire totalement le traitement des données personnelles
B. Harmoniser la protection des données personnelles dans l'Union européenne
C. Permettre la vente des données personnelles au plus offrant
D. Faciliter le stockage illimité des données à caractère personnel
A. Le droit d'accès
B. Le droit à l'oubli
C. Le droit à la portabilité
D. Le droit de propriété intellectuelle sur les données
A. Uniquement aux entreprises situées sur le territoire de l'UE
B. À toute entité (dans l'UE ou hors UE) qui traite des données de résidents de l'UE
C. Aux traitements de données non automatisés uniquement
D. Uniquement aux organismes publics de l'Union européenne
A. La personne dont les données sont traitées
B. L'autorité de contrôle (CNIL en France)
C. L'entité ou la personne morale qui détermine les finalités et les moyens du traitement
D. Le sous-traitant qui réalise techniquement l'opération de traitement
A. L'autorité de contrôle chargée de veiller à la conformité
B. L'organisation ou la personne qui traite les données pour le compte du responsable du traitement
C. La personne qui demande la collecte de données
D. La personne concernée par le traitement
A. Contrôler les salariés et signaler leurs infractions au responsable hiérarchique
B. Vendre les données collectées au plus offrant
C. Veiller au respect du RGPD au sein de l'organisme et être point de contact avec l'autorité de contrôle
D. Répondre à toutes les réquisitions judiciaires sans condition
A. L'entreprise a un chiffre d'affaires supérieur à 100 millions d'euros
B. L'organisme traite des données sensibles à grande échelle ou est un organisme public
C. Le traitement s'effectue uniquement sur le territoire français
D. L'organisme emploie plus de 10 salariés
A. Une donnée portant sur un sujet public
B. Une donnée concernant l'environnement ou la biodiversité
C. Toute information se rapportant à une personne physique identifiée ou identifiable
D. Un numéro de compte bancaire d'une entreprise
A. Toute donnée personnelle liée à l'économie
B. Uniquement la nationalité
C. Les données sur la santé, la religion, les convictions politiques, l'orientation sexuelle, etc.
D. Les données concernant la famille d'une personne
A. Que le consentement soit présumé pour tout internaute
B. Que le consentement soit libre, spécifique, éclairé et univoque
C. Que le consentement soit obligatoire même pour les traitements répondant à une obligation légale
D. Qu'aucun consentement ne soit nécessaire si l'entreprise ne stocke pas les données plus de 24h
A. Ne rien faire si la violation provient d'un tiers
B. Informer les personnes concernées uniquement après 6 mois
C. Notifier l'autorité de contrôle dans les meilleurs délais (72h si possible) et, selon les cas, avertir les personnes concernées
D. Déposer une plainte contre ses propres sous-traitants
A. La minimisation des données
B. La limitation de la conservation des données
C. L'obligation de partager toutes les données avec les autorités publiques
D. La transparence du traitement
A. Réduire le volume des données traitées au strict nécessaire
B. Ne pas stocker de données chiffrées
C. Supprimer les sauvegardes après 24h
D. N'autoriser le stockage que sur des serveurs physiques
A. Obtenir uniquement la suppression des données
B. Transférer ses données personnelles d'un organisme à un autre sous un format structuré et lisible
C. Empêcher le traitement de ses données par le responsable du traitement
D. Racheter ses données à l'organisme responsable
A. La CNIL (Commission Nationale de l'Informatique et des Libertés)
B. La CADA (Commission d'Accès aux Documents Administratifs)
C. Le Conseil d'État
D. Le CSA (Conseil Supérieur de l'Audiovisuel)
A. 20 000 €
B. 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros (le montant le plus élevé)
C. 2 % du capital de la société
D. 1 million d'euros quel que soit le chiffre d'affaires
A. Obligatoire pour tout traitement quel qu'il soit
B. Un document facultatif et non recommandé
C. Obligatoire pour les traitements présentant un risque élevé pour les droits et libertés des personnes
D. Une simple formalité sans valeur juridique
A. Conserver toutes les données sans limite
B. Mettre en place un registre des traitements et chiffrer les données sensibles
C. Déclarer uniquement les traitements marketing
D. Sous-traiter systématiquement la gestion des données personnelles à un prestataire étranger
A. L'obligation de recueillir un consentement éclairé avant le dépôt de cookies non essentiels
B. De toujours refuser les cookies tiers
C. D'installer automatiquement tous les cookies au chargement de la page
D. De ne pas informer l'utilisateur sur la finalité des cookies
A. De compliquer l'infrastructure réseau pour limiter les risques
B. De supprimer les sauvegardes de données personnelles
C. D'assurer la sécurité et la confidentialité des données grâce à des mesures techniques et organisationnelles
D. De n'autoriser que l'utilisation de logiciels open source
A. Aux seuls utilisateurs finaux
B. Exlusivement au sous-traitant
C. Au responsable du traitement, et peut être partagée avec le sous-traitant selon les clauses contractuelles
D. À personne, il n'y a pas de responsabilité en cas de piratage
A. Avoir reçu des instructions documentées du responsable du traitement et respecter la politique interne de confidentialité
B. Pouvoir utiliser les données comme il l'entend, tant qu'il respecte son chef
C. Informer systématiquement la CNIL de toute opération réalisée
D. Partager automatiquement les données avec tous les collègues
A. Le principe du « moindre privilège » (limiter l'accès aux seules personnes ayant besoin d'y accéder)
B. Un accès illimité à tous les collaborateurs
C. Un accès automatique pour tous les prestataires externes
D. Une règle unique de mot de passe pour tout le service
A. Conserver les mêmes mots de passe par défaut sur tous les équipements
B. Mettre en place des solutions de chiffrement, des backups sécurisés et des contrôles d'accès rigoureux
C. Séparer les environnements de production et de test sans mesures de sécurité
D. Ne pas documenter les processus de sauvegarde et de restauration
A. Un texte juridique incompréhensible
B. Les coordonnées du DPO (le cas échéant), les finalités du traitement, la base légale, les droits, etc.
C. Un lien vers le site de la Commission Européenne uniquement
D. Rien, le RGPD n'impose pas d'informer les personnes
A. Développer un logiciel métier propriétaire
B. Tenir un registre des activités de traitement et disposer d'une documentation montrant les mesures mises en place
C. Poster un message sur les réseaux sociaux assurant qu'il respecte le RGPD
D. Installer un antivirus gratuit sur le serveur
A. Qu'il n'existe aucune législation locale sur la protection des données
B. Que le fournisseur cloud est en conformité avec les exigences du RGPD ou dispose de garanties adéquates (clauses contractuelles types, décision d'adéquation, etc.)
C. Que les données soient conservées en clair pour en faciliter la consultation
D. Qu'aucun contrat ne lie l'organisme au fournisseur
A. L'obligation de partager toutes les données sur un réseau public non protégé
B. Le chiffrement des données, le cloisonnement des bases, l'authentification forte
C. L'utilisation d'un mot de passe unique pour tous les services
D. Le bannissement des mises à jour logicielles pour éviter les redémarrages
A. De former et sensibiliser régulièrement le personnel
B. De traiter le RGPD comme un projet ponctuel, puis de l'oublier
C. De laisser la Direction s'occuper seule des procédures
D. De ne communiquer aucune politique de confidentialité aux utilisateurs