Licence CC BY

Historique et application des lois concernant les données personnelles

La France a été pionnière en Europe quant à la protection des données liées à la société de l’information : sa première loi sur la protection des données personnelles date de 1978, soit quarante ans avant l’adoption européenne du règlement général de protection des données (qui est l’objet de ce cours). Je vous propose ici un petit panorama des différentes évolutions de la réglementation sur le sujet en France, avant de proposer une introduction au RGPD, objet de ce cours.

Petit historique législatif de la protection des données personnelles en France

Cette partie est susceptible de ne pas intéresser les européens non-français ; si cet historique ne vous intéresse pas, vous pouvez passer à la partie suivante sans problème particulier, et je ne parlerais alors plus que du droit européen.

Historique de la loi de 1978

Avant 1978, aucune loi ne régit, en France, la conservation informatisée de données ; cela s’explique par l’ancien système de stockage entièrement mécanique (mécanographie) ; on notera toutefois que des doutes sont émis dès 1970, année où un député, en avance sur son temps, propose la création d’un « tribunal de l’informatique », mais cette idée sera temporairement abandonnée.

C’est en 1974 que le journal Le Monde révèle un scandale de taille : le projet SAFARI1, initié par l’INSEE, consistant à informatiser les fichiers régionaux d’état civil pour les rendre nationaux – ce qui pourrait, selon ses opposants, permettre le fichage des français – ainsi que de les interconnecter avec le fichier des cartes d’identités et d’assurance vieillesse – dans un premier temps, le projet sera modifié ensuite, et n’aboutira finalement pas.

Suite au tollé provoqué par l’article du Monde – qui jugea le projet trop vaste et permettant le fichage des français, le nouveau président Valéry Giscard d’Estaing décide la création d’un organisme de contrôle des données personnelles dans la société de l’information : la CNIL, et avec elle est promulguée une loi majeure, la loi de 1978 dite « Informatique et libertés ».

Les atouts de la loi

Cette loi est, comme je le mentionnais en introduction, très en avance pour son époque, la France étant le premier pays européen à légiférer aussi profondément sur le sujet. Le cadre d’utilisation de l’informatique est posé très strictement dans l’article premier :

L’informatique doit être au service de chaque citoyen2

C’est en effet de cette phrase que découle le reste du texte, qui pose la définition de la donnée à caractère personnel – définition d’ailleurs sensiblement identique à celle du RGPD. Il pose aussi un principe toujours de rigueur : aucun traitement informatisé ne peut constituer l’unique fondement d’une décision de justice (impossible de condamner quelqu’un uniquement car il apparaît dans un traitement). Par ailleurs, la loi pose les conditions du traitement automatisé de données à caractère personnel, et mets en place quatre droits fondamentaux3 :

  • le droit d’information : chacun peut être informé des traitements dont ses données font l’objet, cet article est applicable en toutes circonstances, même aux cas relevant de la sécurité nationale ;
  • le droit d’accès : plus complet que le droit d’information, il permet à chacun d’accéder aux informations qui sont conservées sur lui, il est toutefois interdit d’en faire usage dans certains cas ;
  • le droit de rectification : chacun peut demander à faire corriger les données stockées le concernant;
  • le droit d’opposition : chacun peut s’opposer à faire l’objet d’un traitement, pour un motif légitime (le démarchage commercial est reconnu par la loi comme motif légitime).

Ces droits se retrouveront, amplifiés et adjoints à d’autres, dans le RGPD.

Une modification majeure en 2004

En 2004, deux facteurs4, nommément le début de la marchandisation des données (qui étaient auparavant uniquement confiées à l’État) et la traçabilité (le fait que de plus en plus de traces informatiques sont laissées au quotidien), poussent le législateur à réviser la loi de 1978. En France, cette fois en retard sur l’Europe (qui pousse la directive correspondante en 1995), le contrôle a priori de la CNIL, devenu trop encombrant, est transformé en un contrôle a posteriori, mais bien plus contraignant, en effet, icelle est maintenant capable de prononcer des sanctions5 :

  • injonction à cesser le traitement ;
  • retrait de l’autorisation de traitement ;
  • suppression de certaines données ;
  • sanction pécuniaire pouvant aller jusqu’à 150 000 € pour les contrevenants.

La nouvelle loi met aussi en place un nouveau système relatif à la déclaration des fichiers et traitements ; toute structure souhaitant effectuer un traitement de données à caractère personnel ou stocker ces données doit effectuer une déclaration à la CNIL, sauf dans certains cas (mais la déclaration devient la norme). On note toutefois que l’État devient soumis au même régime de déclaration simple, alors qu’il était auparavant soumis à une demander d’autorisation, de par la nature très personnelle des données qu’il collecte.

Une loi comportant de nombreuses failles

Ces nouvelles formalités de déclaration vont poser de nombreux problèmes tant pour l’État que pour les structures privées : l’État est sujet à un contrôle peu strict, quand les entreprises n’ont aucune liberté dans la gestion de leurs données personnelles.

De plus, la loi ne protège pas contre de nombreux risques, en effet, la menace sécuritaire est de plus en plus importante et l’État se demande quel est le juste équilibre entre sécurité et liberté ; la loi « Informatique et libertés » commence alors à être attaquée de toute part, en excluant de nombreux fichiers de son champ d’application (fichage des terroristes, notamment).

L’exposition volontaire de soi reste aussi un problème majeur dans la société et rien n’empêche ou ne protège les personnes contre ce phénomène de mise en avant de soi-même, et de publication volontaire d’informations, qui étaient auparavant récoltées à l’initiative d’un organisme ; cette exposition implique une formation des personnes à l’hygiène numérique, avec une sensibilisation dès le plus jeune âge.

Alors que les enjeux se multiplient et que les appareils connectés croissent de manière exponentielle, la loi ancienne ne fait pas le poids face aux nouveaux acteurs, certains étant même prêts à payer les amendes de la CNIL (d’un montant de 150 000 €, 3 millions depuis octobre 20166, ce qui n’est rien pour une multinationale), plutôt que de respecter les droits des internautes.

  1. L’article intégral peut être trouvé sur le site de l’AFCDP 

  2. L. n° 78-17, 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (abrégée ci-après L. I&L), art. 1er 

  3. L. I&L, art. 38 et suivants 

  4. Conseil d’État, Jean-François T., Isabelle F.P., Internet et les réseaux numériques, 2 juillet 1998, Documentation Française, 193 p., ISBN : 978-2-11004-102-1 

  5. L. I&L, art. 45 et suivants 

  6. L. n° 2016-1321, 7 octobre 2016, pour une République numérique, art. 65, NOR : ECFI1524250L 

Qu'est-ce que le RGPD ?

Historique de la création du RGPD

En janvier 2012, la Commission européenne, consciente de l’absence de consensus sur la protection des données personnelles dans l’ensemble des pays de l’Union, et jugeant le sujet important, décide de rédiger un règlement sur le sujet. De nombreux pays membres sont consultés, et un premier jet du règlement est proposé par la Commission européenne en novembre 2013 1.

Le texte commence alors à être discuté le 11 mars 2014 par le Parlement européen, qui le modifie, et l’adopte le jour suivant en première lecture 2. Les négociations se poursuivent rapidement, entre la Commission européenne, le Parlement européen et le Conseil de l’UE, qui aboutiront au texte final le 15 décembre 2015.

Comme vous le voyez, la procédure d’adoption de ce texte – comme souvent en Union européenne – s’est étalée sur une longue période durant laquelle les divers acteurs (États, entreprises et citoyens), ont pu participer au processus de création, le tout afin d’essayer d’obtenir un texte équilibré, à la fois protecteur des personnes, et laissant une certaine liberté aux entreprises et administrations publiques.

Dispositions du règlement

Pour commencer sur les nouvelles dispositions du règlement, il faut d’abord bien comprendre la notion de cadre harmonisé : désormais, toute l’Union est soumise aux même règles, ce qui facilite la circulation des données personnelles à travers l’UE. Pour les données en dehors de l’Union, le règlement est très strict également, puisque celles-ci sont soumises au règlement dans de très nombreux cas.

Concrètement, et nous le verrons en détail par la suite, toute donnée concernant un citoyen européen, même traitée hors union, est dans le champ d’application du règlement ; c’est un cadre très large et protecteur pour les Européens. Notons d’ailleurs que je viens, sans même le vouloir, de définir le cadre : ce règlement ne concerne que les citoyens, il n’est aucunement applicable aux personnes morales, mais uniquement aux personnes physiques.

Maintenant que les champs d’application sont bien définis, voyons les dispositions du règlement ; j’aimerais d’ailleurs citer, comme je l’ai fait pour le droit français, la phrase dont découle tout le reste du règlement :

Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel3

Pour les structures (notons qu’en droit européen, les administrations sont inclues dans ce terme, par conséquent, le droit d’exception antérieur est aboli) traitant de la donnée personnelle, le principe de déclaration obligatoire à la CNIL est transformé en principe de responsabilité, permettant bien plus de souplesse, mais augmentant les sanctions. L’idée est que la structure traitant les données personnelles doit être en mesure de démontrer que les principes de protections sont respectés, et la CNIL pourra contrôler la structure de manière inopinée ; le contrôle, déjà partiellement effectué a posteriori, l’est maintenant intégralement, puisque la CNIL ne vérifie rien avant contrôle. En cas de délit constaté lors du contrôle, les amendes sont désormais dissuasives, puisqu’elles peuvent aller jusqu’à 4 % du chiffre d’affaire mondial de l’entreprise4, une belle somme.

A titre de comparaison, cette règle des 4 % de chiffre d’affaires appliquée au réseau social Facebook nous donne, pour l’année 2017, plus d’un milliard et 300 millions d’euros.

En ce qui concerne les utilisateurs, leurs droits sont renforcés, avec notamment l’arrivée du consentement « explicite » : le traitement des données personnelles est soumis à un consentement qui ne peut être forcé ; particulièrement, l’accès au service ne peut être conditionné à acceptation de traitement de données qui n’y seraient pas directement nécessaires.

Les nouveaux droits des utilisateurs

Le règlement consacre aussi aux utilisateurs les droits mentionnés à la partie traitant du droit français, à savoir5 :

  • le droit d’information, remplacé par un principe de « transparence de l’information », assez précisément défini, notamment en ce qui concerne les informations à communiquer ;
  • le droit d’accès, qui reste quasiment le même, à ceci près que la durée de conservation doit maintenant être précisée ;
  • le droit de rectification, géré de manière identique : tout changement de la part de l’utilisateur doit être répercuté ;
  • le droit d’opposition, à la fois complété et fragilisé, pour former un « droit à l’effacement », qui reste finalement peut-être le point le moins protecteur de la nouvelle législation, en cela qu’il ne prévoit que six cas ouvrant droit à opposition.

A ces droits existants précédemment, le RGPD en créé deux nouveaux :

  • le droit à la limitation du traitement6, qui est une sorte de droit à l’effacement allégé, qui permet de laisser ses données à la structure responsable du traitement, mais de lui demander de les marquer pour limiter leur utilisation future7 (c’est un droit complexe, nous le reverrons) ;
  • le droit à la portabilité8, fruit d’une longue bataille des associations de défense des droits des citoyens ; il permet à chacun de demander l’intégralité des données à caractère personnel les concernant. Ces données doivent être transmises « dans un format structuré, couramment utilisé et lisible par [une] machine », et il est autorisé d’aller mettre ces données dans un autre traitement, sans que le responsable du premier (celui à qui on demande la portabilité) ne puisse s’y opposer.

  1. Texte déposé A7-0402/2013, 22 novembre 2013, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

  2. Parlement européen, CRE des 11/03/2014 et 12/03/2014 

  3. Règl. (UE) n° 2016/679 du Parlement européen et du Conseil, 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit ci-après « RGPD » ou « Règlement »), art. 1er, objet et objectifs 

  4. RGPD, art. 83 

  5. RGPD, chapitre III, sections 2 et 3 

  6. RGPD, art. 18 

  7. RGPD, art. 4 (particulièrement définitions) 

  8. RGPD, art. 20 

Quelques formalités d’organisation

Les piliers du Règlement

Le RGPD abandonne les formalités auprès de la CNIL, il supprime en tout cas leur rôle prépondérant en amont du traitement des données ; ces formalités sont remplacées par une principe d’« Accountability », c’est-à-dire de responsabilité pour les structures traitant de la donnée. Ces nouvelles règles imposent d’adopter une démarche destinée à prouver la conformité avec la loi d’une entreprise concernée, qui pourra être contrôlée à tout moment.

Les outils de preuve de la conformité sont de plusieurs ordres, et forment les piliers de l’application du RGPD1 ; ces cinq piliers doivent être mis en place pour créer un cycle vertueux de la donnée, et se mettre ainsi en conformité avec le Règlement. Le premier pilier est la bonne gestion de la gouvernance, avec une attribution correcte des rôles aux différentes personnes concernées ; il est pour cela recommandé de mettre en place un tableau de responsabilité et de gestion des tâches, afin de savoir qui doit faire quoi (ce tableau est appelé « matrice de conformité »), et le DPD doit être l’élément central de ce tableau, celui à qui on réfère de toutes les démarches effectuées.

Le second pilier consiste en une connaissance experte des règles en matière de traitement de données, ce qui passe aussi en règle générale par le DPD – que nous mentionnerons juste après, avec une bonne capacité d’adaptation à la pratique, car les règles ont parfois de multiples interprétations. Pour faire la jonction entre cette connaissance des règles et leur mise en pratique, il est nécessaire d’effectuer des analyses d’impact ainsi que divers documents d’étude a priori du projet.

Éléments de preuve de la conformité

Une fois toutes les bonnes pratiques mises en place, par les trois piliers mentionnés précédemment, il faut s’organiser pour document ces pratiques et s’assurer d’être en mesure de prouver la conformité au Règlement ; c’est l’objet des deux derniers piliers, qui constituent des preuves de forme et de fond de la conformité.

Pour ce qui est des éléments de forme assurant la conformité, il est nécessaire d’effectuer une cartographie des traitements, avec une analyse précise des données, systèmes, flux, prestataires, modalités de conservation et risques mis en jeu ; ces éléments doivent montrer une analyse complète du traitement a priori, afin que l’autorité de contrôle puisse s’assurer de la bonne foi de la structure correspondante, qui à défaut de la défausser de charge, lui évitera au moins un procès.

Ces éléments de forme sont complétés par la tenue obligatoire2 d’un registre des traitements, contenant diverses informations, dont celles transmises à l’utilisateur que nous verrons dans la partie suivante, ainsi qu’une description des catégories de personnes concernées, la liste des entités auxquelles les données ont été transmises, la liste des sous-traitants et enfin une description générale des mesures de sécurité et de confidentialité mises en place au niveau technique.

Pour terminer sur ces cinq piliers, la preuve de la conformité doit être appuyée d’éléments de fond, cela concerne – et nous en reverrons la plupart – les contrôle et audits, au quotidien, en interne et pour les prestataires, le reporting effectué par le DPD et le suivi des conseils et injonctions données par le DPD, l’autorité de contrôle ou l’autorité judiciaire.

Le rôle du DPD

Le Règlement mentionne le Délégué à la Protection des Données comme un élément central du processus de mise en conformité : il est chargé de nombreuses missions, qui peuvent être effectuées pour le compte d’une structure ou d’un ensemble de structure agissant conjointement dans un groupement d’entreprises ; ses missions sont, notamment3 :

  • informer et conseiller le responsable du traitement ainsi que les employés de la structure pour laquelle il travaille, en particulier sur leurs obligations au regard du Règlement, et d’éventuelles autres dispositions européennes ou nationales concernant la protection des données ;
  • contrôler le respect des dispositions qu’il a eu mission de mettre en pratique, pour le compte de son entreprise ou groupement d’entreprise, et concernant les divers sous-traitants ; ainsi, il a pour mission de vérifier le bon déroulement des procédures de contrôle ainsi que le résultat des audits internes ;
  • dispenser des conseils, sur demande, en ce qui concerne les PIA et la mise en place d’une PSSI, deux notions que nous étudierons en détails dans ce cours ;
  • coopérer avec l’autorité de contrôle, pendant et hors périodes de contrôle, et faire office de point de contact entre la structure et l’autorité compétente en niveau national sur toutes les questions relatives au traitement.

Le rôle du DPD est donc double : il agit en amont et en aval de la mise en conformité, pour conseiller et vérifier que tout soit en règle. Conséquemment, il doit disposer de nombreuses compétences dans des domaines très divers, principalement le droit, mais aussi l’informatique, la sécurité, les ressources humaines, la communication… Pour ceux d’entre vous souhaitant devenir DPD, ce cours peut être une bonne introduction, mais pas une formation à part entière, il vous sera nécessaire d’aller directement lire le Règlement pour y découvrir les points occultés dans ce cours, et d’acquérir de bonnes notions, d’informatique particulièrement.

Notons le statut particulier du DPD au sein de l’entreprise : il doit agir en toute indépendance, ce qui signifie qu’il doit être libre de ses actions dans le cadre de sa mission, ne pas avoir de conflits d’intérêts (un DPD ne peut pas être responsable du traitement, par exemple) et est protégé au sens qu’il ne peut pas faire l’objet de sanctions disciplinaires liées à son activité4 (il peut dire ce qui est nécessaire sans que son statut, sa paie, ou quoi que ce soit d’autre ne soit affecté).

  1. Anne Debet, Jean Massot, Nathalie Metallinos, La protection des données à caractère personnel en droit français et européen, 2015, L.G.D.J., coll. Les Intégrales, 1296 p., ISBN : 978-2-35971-093-9 

  2. RGPD, art. 30 

  3. RGPD, art. 39 

  4. G29, avis n° 1/2016, 5 avril 2016, WP 243 

La première question : À quoi s'applique-t-il ?

J’aimerais, avant tout, aborder une question qui devrait intéresser chacun, et que nous avons déjà partiellement traitée dans la sous-partie précédente : qui est concerné par ce fameux règlement ? Nous avons déjà vu qu’il pouvait s’appliquer aux données des Européens, même hors Union Européenne, mais il nous faut nous intéresser plus en détails à son champ d’application dans le temps et dans l’espace. Une autre notion importante que nous étudierons est la notion de sous-traitance, qui reste, malgré tous les efforts du législateur, assez complexe à appréhender.

Qui doit l’appliquer ? Au profit de qui ?

Soyons clairs sur ce point, le Règlement s’applique à tous, enfin presque tous, puisque qu’il ne concerne que les personnes morales : est exclu de son champ d’application « tout traitement effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique »1. Les personnes physiques effectuant un traitement pour le compte d’une personne morale ne sont donc pas exclues du cadre du RGPD. Cette notion d’activité strictement personnelle permets de libérer les éditeurs de petits sites personnels, qu’ils pourront donc administrer sans s’embêter avec des procédures juridiques.

Un autre point important du Règlement : il ne concerne que les traitements de données de personnes physiques2, les échanges entre personnes morales étant considérées comme purement commerciales.

Certaines entreprises, pour faire traiter leurs données, font appel à des sous-traitants ; le RGPD définit cette notion de sous-traitant comme :

  • une personne physique ou morale ;
  • qui traite des données à caractère personnel ;
  • pour le compte du responsable du traitement.

Dans ce cas précis de sous-traitance, la définition de la responsabilité est floue au niveau du RGPD (le sous-traitant doit présenter « des garanties suffisantes », techniques et organisationnelles quant à l’application du Règlement), mais en se basant sur les conclusions du G293, il est possible de retenir un faisceau d’indices indiquant qui est le véritable responsable du traitement : il doit être à l’initiative du traitement et en définir la finalité – la première chose à regarder est donc : qui souhaite ce traitement ? Le responsable faisant appel à un sous-traitant doit aussi, pour que sa responsabilité soit engagée, avoir une influence de droit ou de fait sur le traitement ; cette influence peut donc être stipulée par contrat ou simplement constatée.

La responsabilité du sous-traitant sera, quant à elle, appréciée par son autonomie et son pouvoir décisionnaire quand au traitement, ainsi que par la possession des moyens matériels, humains, techniques et organisationnels du traitement ; on remarque que dans de nombreux cas, la responsabilité du « simple » sous-traitant ne peut être engagée, j’entends par ici que le sous-traitant doit avoir une réelle liberté d’agir pour qu’il puisse être responsable du traitement. Par conséquent, c’est l’entreprise qui demande la sous-traitance qui doit traiter les requêtes des utilisateurs, et qui doit justifier du bon déroulement du traitement en cas de demande de la CNIL, mais le sous-traitant doit s’assurer du respect des obligations de sécurité et de confidentialité.

Signalons enfin que si la responsabilité du sous-traitant est établie a posteriori, le responsable du traitement peut réclamer au sous-traitant le remboursement d’une réparation versée antérieurement suite à la plainte d’un utilisateur, dans la limite des délais légaux.

Quelles données sont concernées ?

Nous ne cessons depuis le début de ce cours d’évoquer les notions de donnée personnelle et de traitement, mais nous n’avons jamais défini ces notions de façon claire ; je vais donc me permettre de lister les conditions définissant un traitement :

  • il s’agit d’une opération ou d’un ensemble d’opérations ;
  • effectuées ou non à l’aide de procédés automatisés, ce qui signifie qu’un stockage papier d’informations, qui seraient consultés de temps à autres, entre dans cette définition ; le RGPD ne nous parle pas uniquement de traitements informatisé, même s’ils en sont l’objet majeur ;
  • appliquées à des données à caractère personnel. Et pour être plus précis sur cette notion de donnée à caractère personnel, même si la définition relève du sens commun, elle est « toute information se rapportant à une personne physique identifiée ou identifiable », incluant les personnes identifiables par un identifiant ou un numéro ou même un faisceau d’éléments concordants4.

Pour quelques exemples de données à caractère personnel, on pourrait citer, permettant une identification directe le nom, le prénom ou encore le numéro de sécurité sociale ; de manière indirecte, il y a une adresse, une photographie, un numéro de téléphone (à la limite de l’identification directe) et de manière très indirecte, un enregistrement vocal, par exemple – qui est effectivement une donnée personnelle, d’après la CNIL.

Deux choses importantes sont à noter : les données peuvent être à caractère personnel même si elles sont publiques ; pour que ces données ne soient plus considérées comme personnelles, elles doivent être anonymisées – et non pseudonymisées4, de manière à rendre impossible toute identification de la personne concernée.

Les conditions d’application dans l’espace et dans le temps

Nous avons déjà mentionné l’application dans l’espace peu avant, il est maintenant nécessaire de la préciser ; nous savons déjà que la loi s’applique pour toute donnée concernant un citoyen européen, plus spécifiquement, il faut que le responsable du traitement, ou le sous-traitant soit établi sur le territoire de l’EU, ou alors pour les personnes se trouvant sur le territoire de l’Union, lorsque l’entreprise :

  • offre des biens ou des services [aux] personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou
  • [suit le] comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

Source : article 3 du RGPD

Il faut comprendre que si les personnes dans l’Union ont leurs données personnelles traitées suite à une prestation, facturée ou non, l’entreprise effectuant le traitement tombe sous l’objet du Règlement, ainsi que si elle suit le comportement de ces personnes, même sans fourniture d’une quelconque prestation (c’est le cas des régies publicitaires, par exemple).

En ce qui concerne l’application temporelle du RGPD, icelle est définie jusqu’à expiration de la durée de conservation définie (le « droit à l’oubli » dont nous parlerons plus loin), ou, à défaut, jusqu’à ce que les données ne soient plus nécessaires.

Un utilisateur peut exercer ses droits sur des données qui n’ont pas été supprimées, qu’elles ne l’aient pas été car elles sont encore utilisées, par négligence, ou car elles sont archivées (notons que la durée d’archivage fait partie de la durée de conservation).

  1. RGPD, art. 2 

  2. RGPD, art. 1er, cf. la phrase mentionnée ci-avant 

  3. G29, avis n° 1/2010, 16 février 2010, WP 169 

  4. Si vous souhaitez savoir pourquoi, je vous invite à écouter Benjamin Bayart, au sujet de l’anonymisation, et la réponse d’Axelle Lemaire sur son opposition auprès de l’Europe 

Maintenant que les questions concernant la protection des données personnelles sont posées pour les particuliers et entreprises, le cours se sépare : une partie, concernant les droits des utilisateurs, est recommandée à tous ; une seconde partie, sur la gestion du RGPD dans une structure (principalement en entreprise) est plus pointue et plutôt réservée à ceux ambitionnant de devenir DPD (c’est-à-dire responsable des données personnelles, au nivau juridique et technique), ou à s’informer plus amplement à ce sujet.