A. 1er janvier 2018
B. 25 mai 2018
C. 1er juin 2019
D. 31 décembre 2017
Réponse : B
Le RGPD est effectivement entré en application le 25 mai 2018.
A. Interdire totalement le traitement des données personnelles
B. Harmoniser la protection des données personnelles dans l'Union européenne
C. Permettre la vente des données personnelles au plus offrant
D. Faciliter le stockage illimité des données à caractère personnel
Réponse : B
Le RGPD vise à uniformiser et à renforcer la protection des données personnelles dans l'UE.
A. Le droit d'accès
B. Le droit à l'oubli
C. Le droit à la portabilité
D. Le droit de propriété intellectuelle sur les données
Réponse : D
Les principaux droits incluent : droit d'accès, droit à l'effacement (oubli), droit à la portabilité, etc. Le droit de propriété intellectuelle n'est pas un droit spécifique conféré par le RGPD.
A. Uniquement aux entreprises situées sur le territoire de l'UE
B. À toute entité (dans l'UE ou hors UE) qui traite des données de résidents de l'UE
C. Aux traitements de données non automatisés uniquement
D. Uniquement aux organismes publics de l'Union européenne
Réponse : B
Le RGPD a une portée extra-territoriale et s'applique à toute structure traitant des données personnelles de résidents de l'UE, quel que soit son emplacement.
A. La personne dont les données sont traitées
B. L'autorité de contrôle (CNIL en France)
C. L'entité ou la personne morale qui détermine les finalités et les moyens du traitement
D. Le sous-traitant qui réalise techniquement l'opération de traitement
Réponse : C
Le responsable du traitement est celui qui détermine la finalité et les moyens du traitement.
A. L'autorité de contrôle chargée de veiller à la conformité
B. L'organisation ou la personne qui traite les données pour le compte du responsable du traitement
C. La personne qui demande la collecte de données
D. La personne concernée par le traitement
Réponse : B
Le sous-traitant agit pour le compte et sous l'autorité du responsable du traitement.
A. Contrôler les salariés et signaler leurs infractions au responsable hiérarchique
B. Vendre les données collectées au plus offrant
C. Veiller au respect du RGPD au sein de l'organisme et être point de contact avec l'autorité de contrôle
D. Répondre à toutes les réquisitions judiciaires sans condition
Réponse : C
Le DPO veille à la conformité RGPD, conseille l'organisme et sert d'interface avec l'autorité de contrôle.
A. L'entreprise a un chiffre d'affaires supérieur à 100 millions d'euros
B. L'organisme traite des données sensibles à grande échelle ou est un organisme public
C. Le traitement s'effectue uniquement sur le territoire français
D. L'organisme emploie plus de 10 salariés
Réponse : B
Sont notamment concernés les organismes publics ou ceux qui effectuent un suivi régulier et systématique à grande échelle ou traitent des données sensibles à grande échelle.
A. Une donnée portant sur un sujet public
B. Une donnée concernant l'environnement ou la biodiversité
C. Toute information se rapportant à une personne physique identifiée ou identifiable
D. Un numéro de compte bancaire d'une entreprise
Réponse : C
Les données personnelles concernent toute personne physique identifiable.
A. Toute donnée personnelle liée à l'économie
B. Uniquement la nationalité
C. Les données sur la santé, la religion, les convictions politiques, l'orientation sexuelle, etc.
D. Les données concernant la famille d'une personne
Réponse : C
Les données sensibles incluent celles relatives à la santé, aux opinions politiques, aux convictions religieuses, etc.
A. Que le consentement soit présumé pour tout internaute
B. Que le consentement soit libre, spécifique, éclairé et univoque
C. Que le consentement soit obligatoire même pour les traitements répondant à une obligation légale
D. Qu'aucun consentement ne soit nécessaire si l'entreprise ne stocke pas les données plus de 24h
Réponse : B
Le RGPD définit le consentement comme étant libre, spécifique, éclairé et univoque (acte positif clair).
A. Ne rien faire si la violation provient d'un tiers
B. Informer les personnes concernées uniquement après 6 mois
C. Notifier l'autorité de contrôle dans les meilleurs délais (72h si possible) et, selon les cas, avertir les personnes concernées
D. Déposer une plainte contre ses propres sous-traitants
Réponse : C
La notification à l'autorité doit se faire dans les 72 heures après constat de la violation (quand cela est requis), et si la violation présente un risque élevé pour les droits et libertés, les personnes doivent être informées.
A. La minimisation des données
B. La limitation de la conservation des données
C. L'obligation de partager toutes les données avec les autorités publiques
D. La transparence du traitement
Réponse : C
Le RGPD n'impose pas de partager systématiquement toutes les données avec les autorités. En revanche, minimisation, limitation de conservation et transparence font partie des principes clés.
A. Réduire le volume des données traitées au strict nécessaire
B. Ne pas stocker de données chiffrées
C. Supprimer les sauvegardes après 24h
D. N'autoriser le stockage que sur des serveurs physiques
Réponse : A
Le principe de minimisation consiste à ne collecter et ne traiter que les données strictement nécessaires aux finalités.
A. Obtenir uniquement la suppression des données
B. Transférer ses données personnelles d'un organisme à un autre sous un format structuré et lisible
C. Empêcher le traitement de ses données par le responsable du traitement
D. Racheter ses données à l'organisme responsable
Réponse : B
Le droit à la portabilité permet de récupérer les données fournies de manière structurée pour les transférer à un autre responsable de traitement.
A. La CNIL (Commission Nationale de l'Informatique et des Libertés)
B. La CADA (Commission d'Accès aux Documents Administratifs)
C. Le Conseil d'État
D. Le CSA (Conseil Supérieur de l'Audiovisuel)
Réponse : A
La CNIL est l'autorité française en matière de protection des données.
A. 20 000 €
B. 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros (le montant le plus élevé)
C. 2 % du capital de la société
D. 1 million d'euros quel que soit le chiffre d'affaires
Réponse : B
Les amendes peuvent aller jusqu'à 20 millions d'euros ou 4 % du CA mondial, selon le montant le plus élevé.
A. Obligatoire pour tout traitement quel qu'il soit
B. Un document facultatif et non recommandé
C. Obligatoire pour les traitements présentant un risque élevé pour les droits et libertés des personnes
D. Une simple formalité sans valeur juridique
Réponse : C
Le DPIA est obligatoire dès lors qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (ex. surveillance à grande échelle, données sensibles, etc.).
A. Conserver toutes les données sans limite
B. Mettre en place un registre des traitements et chiffrer les données sensibles
C. Déclarer uniquement les traitements marketing
D. Sous-traiter systématiquement la gestion des données personnelles à un prestataire étranger
Réponse : B
Un registre des traitements est obligatoire pour la plupart des organismes. Le chiffrement des données sensibles fait partie des bonnes pratiques de sécurité.
A. L'obligation de recueillir un consentement éclairé avant le dépôt de cookies non essentiels
B. De toujours refuser les cookies tiers
C. D'installer automatiquement tous les cookies au chargement de la page
D. De ne pas informer l'utilisateur sur la finalité des cookies
Réponse : A
Les cookies non essentiels (publicité, analyse, etc.) nécessitent un consentement explicite. L'information claire et la possibilité de refuser sont obligatoires.
A. De compliquer l'infrastructure réseau pour limiter les risques
B. De supprimer les sauvegardes de données personnelles
C. D'assurer la sécurité et la confidentialité des données grâce à des mesures techniques et organisationnelles
D. De n'autoriser que l'utilisation de logiciels open source
Réponse : C
Le RGPD exige de mettre en œuvre des mesures de sécurité appropriées pour garantir la confidentialité et l'intégrité des données.
A. Aux seuls utilisateurs finaux
B. Exlusivement au sous-traitant
C. Au responsable du traitement, et peut être partagée avec le sous-traitant selon les clauses contractuelles
D. À personne, il n'y a pas de responsabilité en cas de piratage
Réponse : C
Le responsable du traitement est responsable en premier lieu, mais le sous-traitant peut aussi être tenu responsable selon les dispositions contractuelles et son niveau d'implication.
A. Avoir reçu des instructions documentées du responsable du traitement et respecter la politique interne de confidentialité
B. Pouvoir utiliser les données comme il l'entend, tant qu'il respecte son chef
C. Informer systématiquement la CNIL de toute opération réalisée
D. Partager automatiquement les données avec tous les collègues
Réponse : A
Le traitement doit être conforme aux instructions et à la politique de l'organisme. L'employé doit respecter les consignes du responsable du traitement.
A. Le principe du « moindre privilège » (limiter l'accès aux seules personnes ayant besoin d'y accéder)
B. Un accès illimité à tous les collaborateurs
C. Un accès automatique pour tous les prestataires externes
D. Une règle unique de mot de passe pour tout le service
Réponse : A
Le principe du moindre privilège (least privilege) est une mesure de sécurité fondamentale pour protéger les données personnelles.
A. Conserver les mêmes mots de passe par défaut sur tous les équipements
B. Mettre en place des solutions de chiffrement, des backups sécurisés et des contrôles d'accès rigoureux
C. Séparer les environnements de production et de test sans mesures de sécurité
D. Ne pas documenter les processus de sauvegarde et de restauration
Réponse : B
Les bonnes pratiques incluent le chiffrement, la sauvegarde sécurisée, la gestion fine des accès et la traçabilité.
A. Un texte juridique incompréhensible
B. Les coordonnées du DPO (le cas échéant), les finalités du traitement, la base légale, les droits, etc.
C. Un lien vers le site de la Commission Européenne uniquement
D. Rien, le RGPD n'impose pas d'informer les personnes
Réponse : B
Les informations minimales comprennent l'identité du responsable, les finalités, la base légale, la durée de conservation, les droits, les coordonnées du DPO si applicable, etc.
A. Développer un logiciel métier propriétaire
B. Tenir un registre des activités de traitement et disposer d'une documentation montrant les mesures mises en place
C. Poster un message sur les réseaux sociaux assurant qu'il respecte le RGPD
D. Installer un antivirus gratuit sur le serveur
Réponse : B
Le RGPD impose le principe d'« accountability » (responsabilisation) : l'organisme doit être en mesure de démontrer qu'il respecte les obligations (registre, documentation, DPIA, etc.).
A. Qu'il n'existe aucune législation locale sur la protection des données
B. Que le fournisseur cloud est en conformité avec les exigences du RGPD ou dispose de garanties adéquates (clauses contractuelles types, décision d'adéquation, etc.)
C. Que les données soient conservées en clair pour en faciliter la consultation
D. Qu'aucun contrat ne lie l'organisme au fournisseur
Réponse : B
Les transferts hors UE sont autorisés si le pays assure un niveau de protection adéquat ou s'il existe des garanties appropriées (clauses contractuelles, etc.).
A. L'obligation de partager toutes les données sur un réseau public non protégé
B. Le chiffrement des données, le cloisonnement des bases, l'authentification forte
C. L'utilisation d'un mot de passe unique pour tous les services
D. Le bannissement des mises à jour logicielles pour éviter les redémarrages
Réponse : B
Les recommandations incluent le chiffrement, le cloisonnement, l'authentification forte, la mise à jour régulière des systèmes, etc.
A. De former et sensibiliser régulièrement le personnel
B. De traiter le RGPD comme un projet ponctuel, puis de l'oublier
C. De laisser la Direction s'occuper seule des procédures
D. De ne communiquer aucune politique de confidentialité aux utilisateurs
Réponse : A
La sensibilisation et la formation du personnel sont essentielles pour assurer la conformité RGPD sur le long terme.