Questions juridiques fréquentes
Testez vos connaissances en droit du numérique ! Conformity Data vous propose une réponse synthétique aux douze questions juridiques les plus fréquentes.

1. Qu’est-ce que le RGPD ?
Le sigle RGPD signifie Règlement Général sur la Protection des Données.
Il s’agit d’un texte juridique européen créant des droits et des obligations en matière de protection des données personnelles des individus.
Le RGPD date de 2016 et est entré en vigueur le 25 mai 2018.
Il doit être appliqué par toute structure, qu’elle soit privée, publique ou associative et quelle que soit la taille ou l’activité de cette structure, si celle-ci collecte ou traite des données personnelles.
Cette structure doit être établie sur le territoire de l’Union européenne ou traiter des données de personnes établies sur le territoire de l’Union européenne.
Le sous-traitant collectant ou traitant des données personnelles pour le compte d’une structure est également soumis au RGPD.
Le RGPD confère des droits aux particuliers.
2. Pourquoi le RGPD a-t-il été mis en place ?
Étant un texte juridique européen, le RGPD permet de collecter, d’échanger et de traiter librement des données personnelles dans tous les pays de l’Union européenne.
Le RGPD est venu renforcer les droits et les obligations en matière de protection des données personnelles dans toute l’Union européenne.
Le point commun entre un dirigeant d’entreprise et ses salariés, entre un directeur commercial et ses clients, entre un maire et ses administrés est les données personnelles. Une différence tient au fait qu’on collecte ces données, comme dans le cas d’un RH, ou que les données soient collectées, comme pour un salarié. Mais en réalité, il n’existe pas vraiment de frontière : un banquier collecte les données de ses clients, mais va, lui-même, voir ses propres données collectées par un commercial à des fins de prospection.
Une entreprise qui verrait ses données piratées va certes causer un préjudice à ses clients, mais va également se porter préjudice en termes d’impacts financiers et réputationnels.
Nous sommes donc tous acteurs de nos données, que nous soyons particuliers ou professionnels.
Si le RGPD a été conçu pour protéger les données des personnes physiques, il peut aussi, dans certaines mesures, protéger les structures privées, publiques ou associatives.
3. Pour quelles raisons dois-je m’intéresser au RGPD ?
En tant que professionnel, que ce soit du secteur privé, public ou associatif, se conformer à la réglementation du RGPD va permettre de réduire et de limiter les impacts :
– financiers : amendes, coûts de la médiation, de la notification, de la remise en conformité, de la réparation des préjudices, pertes de profit.
– réputationnels : sanction rendue publique, défaillances engendrant une perte de confiance et dégradant l’image de l’entreprise, pouvant influencer jusqu’à son cours en bourse.
– sur les performances opérationnelles : incapacité à développer un projet conforme, blocage opérationnel complet par cyberattaques.

4. Qu’est-ce qu’un DPO ?
L’acronyme DPO signifie en anglais Data Protection Officer. En français, on parle de délégué à la protection des données et on utilise parfois le sigle DPD.
Le métier de DPO n’est pas réglementé. Pourtant désormais, selon le RGPD, le DPO doit uniquement être désigné s’il possède des qualités professionnelles requises et en particulier des connaissances spécialisées du droit et des pratiques en matière de protection des données. Il doit être également en capacité d’accomplir les missions fixées par le RGPD.
ATTENTION :
Un DPO doit être obligatoirement désigné dans les organismes publics, quelles que soient leur taille et leurs activités.
Pour les structures privées ou associatives, la désignation d’un DPO est obligatoire dès lors que les activités de base de la structure impliquent un suivi régulier, systématique et à grande échelle d’individus par des fichiers.
ATTENTION :
Si les activités de base de la structure impliquent à grande échelle la collecte ou le traitement de données sensibles au sens de l’article 9 du RGPD, la désignation d’un DPO est obligatoire.
ATTENTION :
Les structures ne désignant pas de DPO doivent justifier pour quelles raisons aucun DPO n’a été désigné.
Les missions d’accompagnement du DPO pour assurer la mise en conformité RGPD de la structure sont :
– le conseil et l’information,
– d’être le point de contact des personnes fichées ou de tiers sollicitant de l’information,
– d’être le point de contact de la CNIL ou de toute autorité habilitée : juge, policier, administration…
– le contrôle du respect du RGPD,
– la sensibilisation et la formation du personnel,
– la coordination de la documentation.
Ces missions s’inscrivent donc dans la durée.

5. Pourquoi nommer un DPO ?
Ne pas désigner de DPO alors que sa nomination serait obligatoire fait encourir à la structure le prononcé d’une sanction.
ATTENTION :
Nommer comme DPO une personne ne disposant pas des qualités professionnelles requises par le RGPD est considéré comme étant un DPO “fictif”, ce qui constitue une infraction et fait également encourir à la structure le prononcé de sanctions.
Au-delà, la nomination d’un DPO qualifié permet à la structure de limiter les risques financiers ou réputationnels en s’assurant la plus entière conformité au RGPD.

6. Peut-on être chef d’entreprise et DPO ?
Non, il y a incompatibilité entre les fonctions de chef d’entreprise et de DPO.
Plus généralement, il y a conflit d’intérêts lorsqu’une implication opérationnelle ou managériale existe dans la création ou la gestion de traitements de données.
Par exemple, un DRH ou un RSSI gérant des traitements de données peuvent difficilement être nommés DPO.
7. Qui est responsable en cas de non-conformité au RGPD ?
La responsabilité pénale repose sur le dirigeant ne respectant les dispositions du RGPD. Ce dirigeant peut ainsi faire l’objet de peines de prison ou d’amendes.
Cette responsabilité pénale ne peut pas être transférée sur une tierce personne ; c’est strictement interdit par la réglementation.
Le non-respect des obligations issues du RGPD entraîne des peines allant jusqu’à 5 ans d’emprisonnement et 1 500 000 euros d’amende.
La responsabilité civile pèse également sur le dirigeant. La réparation peut être en nature ou pécuniaire.
Il existe par ailleurs un risque prud’homal. En matière de droit du travail, le contentieux relatif aux données personnelles est développé. Les salariés peuvent se défendre contre leur employeur en évoquant le RGPD. L’employeur sera tenu pour responsable de la non-conformité au RGPD.
Enfin, les sanctions prises par la CNIL sont des décisions administratives adressées également au dirigeant. On distingue trois types de mesures qui peuvent se cumuler :
– non pécuniaires : rappel à l’ordre, injonction…
– pécuniaires : maximum 4 % du CA mondial ou 20 millions d’euros
– publiques : publication d’un communiqué sur Internet
8. Qu’est-ce que la CNIL ?
L’acronyme CNIL signifie Commission Nationale de l’Informatique et des Libertés.
La CNIL est une autorité administrative indépendante.
Elle est compétente en matière de protection des données pour :
– contrôler les organismes privés et publics,
– instruire les plaintes des particuliers,
– engager des procédures de sanction et sanctionner,
– établir et publier des lignes directives, des recommandations ou des référentiels et des règlements types,
– informer et conseiller,
– certifier des procédures ou des personnes.
Liens vers le site officiel de la CNIL :
9. Existe-t-il d’autres textes juridiques que le RGPD en matière de protection des données ?
Aujourd’hui, les règles juridiques se situent principalement au niveau européen. Ce changement s’est opéré en 2016 avec l’arrivée du RGPD.
On a cependant maintenu une loi française sur la protection des données personnelles en 2018, reprenant le RGPD.
Sur certains sujets, le RGPD peut également renvoyer au droit national. Il faut donc toujours vérifier les spécificités nationales.
Au niveau européen, plusieurs textes juridiques relatifs aux data ont été récemment adoptés ou sont en cours d’adoption :
– le Data Governance Act (DGA),
– le règlement sur l’espace européen des données de santé,
– le Digital Services Act (DSA),
– le Digital Market Act (DMA),
– le règlement européen sur l’intelligence artificielle (AI Act) .
D’autres sont à venir, comme la proposition de règlement européen e-privacy.
À noter que la CNIL et le Comité Européen à la Protection des Données (CEPD), qui sont toutes deux des structures administratives, prennent des décisions venant orienter l’interprétation des textes. Ce sont des recommandations et des référentiels, produits par la CNIL et servant de guides.
10. Qu’est-ce que le nouveau règlement européen sur l’intelligence artificielle ?
Le nouveau règlement européen sur l’intelligence artificielle, ou AI Act en anglais, a été approuvé par les États membres de l’Union européenne le 21 mai 2024 et publié au journal officiel de l’Union européenne le 12 juillet 2024.
Il s’agit donc d’un texte juridique très récent. Pour cette raison, il entre progressivement en vigueur depuis le 1ᵉʳ août 2024. Des dates différentes d’entrée en vigueur, échelonnées dans le temps, sont prévues afin que les structures puissent se préparer à l’application de ce nouveau texte. Ainsi :
– au 2 février 2025, tout système d’intelligence artificielle considéré comme présentant des risques inacceptables sera interdit.
– au 2 août 2025, les structures devront appliquer les règles concernant les systèmes d’intelligence artificielle définis comme étant à usage général.
– au 2 août 2026, soit deux ans après l’entrée en vigueur, l’ensemble des dispositions figurant dans le règlement européen sur l’intelligence artificielle s’appliqueront.
– au 2 août 2027, les règles relatives aux systèmes d’intelligence artificielle à haut risque figurant à l’annexe I du règlement s’appliqueront.
Ce règlement européen sur l’intelligence artificielle vient compléter les obligations du RGPD en matière de droit des données personnelles. Il s’applique au sein d’une structure en complément du RGPD dès lors qu’il y aura un traitement de données personnelles avec intelligence artificielle à haut risque.
L’objectif de ce nouveau règlement est double : faciliter le développement économique et l’intelligence artificielle dans tous les pays de l’Union européenne, tout en respectant les droits fondamentaux, dont la protection de la vie privée et des données personnelles des individus concernés.
11. Que sont les directives NIS dont le second volet NIS 2 est entré en vigueur en octobre 2024 ?
La directive NIS 2, publiée au journal officiel de l’Union européenne en décembre 2022 est entrée en vigueur dans le droit français en octobre 2024, pour une application progressive par les entités concernées. C’est le second volet des directives NIS relatives à la cybersécurité.
1. Que signifie l’acronyme NIS ?
Network and Information Security
En français, on traduit par l’acronyme SRI : sécurité des réseaux et des systèmes d’information. Cependant, dans le langage courant, on emploie l’acronyme anglais.
2. Qu’est-ce que NIS 1 ?
NIS est la première directive européenne de cybersécurité, adoptée en 2016 et entrée en vigueur en 2018. Elle a permis de renforcer les capacités de coopération à l’échelle européenne. Au titre de NIS 1, l’ANSSI a été désignée autorité nationale compétente et a nommé 300 entités comme opérateurs de service essentiels (OSE). Des exigences de sécurité ont été fixées pour ces entités.
3. Pourquoi NIS 2 ?
La menace évoluant, comme les cyberattaques croissantes contre des PME et des collectivités territoriales, le droit et la pratique sécuritaire doivent s’adapter, faisant ainsi changer la réglementation initiale. Le phénomène de rançongiciels peut avoir un impact dramatique, non seulement pour la structure concernée, mais aussi pour la société tout entière.
4. Qu’est-ce que NIS 2 ?
Fin 2020, la commission européenne a proposé d’étendre le nombre d’entités concernées, pour passer de 15 000 à 100 000 à l’échelle européenne et de créer de nouvelles obligations pour ces dernières.
5. Que contient la nouvelle directive NIS 2 ?
Le périmètre des entités concernées a été étendu, désormais divisé en deux typologies : les entités essentielles et les entités importantes.
La proportionnalité aux moyens et aux enjeux des structures est intégrée concernant les mesures de sécurité, la régulation et les sanctions.
- La liste des entités essentielles figure à l’annexe 1 de la directive. Elles n’entreront dans le cadre de NIS 2 que si, en plus, elles ont au moins 250 employés ou un chiffre d’affaires minimum de 50 millions d’euros ou un bilan annuel supérieur à 43 millions d’euros.
- Les entités importantes figurent aux annexes 1 et 2 de la liste. Elles devront de surcroît avoir entre 50 et 250 employés ou un chiffre d’affaires entre 10 et 50 millions d’euros ou un bilan annuel de 10 à 43 millions d’euros.
- Ne sont donc pas concernées par la directive les structures dont les secteurs d’activité ne figurent pas dans cette liste et qui ont moins de 50 employés ou moins de 10 millions d’euros de chiffre d’affaires ou un bilan annuel inférieur à 10 millions d’euros.
De nouvelles obligations et mesures de sécurité apparaissent. Les principales sont :
- les obligations envers l’ANSSI de déclarer les incidents majeurs en plusieurs phases, avec un délai de 24 heures concernant la notification initiale d’incident,
- des mesures techniques, organisationnelles et opérationnelles appropriées et proportionnées pour gérer les risques menaçant la sécurité des réseaux et des systèmes d’information, telles que la mise en place de politiques relatives à l’analyse des risques, la gestion des incidents, des procédures pour évaluer l’efficacité des mesures, des pratiques de cyberhygiène et des formations à la cybersécurité.
Les contrôles sont renforcés et des sanctions pécuniaires apparaissent.
En conclusion, pour l’Union européenne, le but des directives NIS est de promouvoir un cyberespace européen « libre et sécurisé », avec un double objectif :
- anticiper et réagir de manière appropriée face aux cyberattaques,
- pérenniser la croissance de l’économie numérique.
Afin d’assurer un niveau élevé de cybersécurité et commun à l’ensemble des États membres, les directives NIS 1 et NIS 2 prévoient ainsi :
1. d’améliorer les capacités de cybersécurité des États membres,
2. de renforcer la coopération entre les secteurs, qu’ils soient publics ou privés et les États,
3. d’adopter des pratiques de gestion des risques et de rendre compte des accidents de cyberattaques pour les entreprises de secteurs critiques.
12. Pourquoi réaliser un audit de conformité au RGPD ?
La notion d’audit apparaît formellement dans la réglementation. Réaliser un audit de conformité au RGPD signifie mettre en œuvre des mesures de contrôle, afin de vérifier si une structure privée, publique ou associative est effectivement conforme aux dispositions légales.
Il est essentiel, car la protection des données, contrairement à une idée reçue, n’est nullement une fin en soi. Bien au contraire, il faut en permanence l’améliorer et la maintenir à jour, à mesure notamment de l’évolution du cadre juridique.
Un audit externe permet d’évaluer de manière indépendante l’efficacité du traitement des données de tout type de structure et de formuler des recommandations immédiatement applicables dans les domaines où des améliorations se seront révélées nécessaires.
C’est donc l’assurance d’atteindre les objectifs fixés par la règlementation en tenant compte des spécificités de chaque structure.
Retrouvez aussi une sélection de faits juridiques commmentés
Conformity Data vous propose une sélection d’actualités dans le domaine du numérique, du droit des données personnelles – RGPD, de l’intelligence artificielle et de la cybersécurité.
Chaque situation est commentée au regard de la règlementation en vigueur et des bonnes pratiques recommandées par les autorités.
CONTACTEZ
Conformity Data
Vos données sont traitées par Conformity Data pour votre demande de prise de contact. Les seuls destinataires sont Conformity Data et son sous-traitant o2switch - France, en charge de la gestion du serveur web. La fourniture de ces données (*) est obligatoire. Pour plus d’informations sur le traitement de vos données et l’exercice de vos droits, reportez-vous à notre politique de confidentialité.
contact@conformity-data.fr

RGPD, NIS2, AI Act - le droit du numérique en toute sérénité