CORRIGÉ DES

EXERCICES

FORMATION CERTIFIED DATA PROTECTION OFFICER

www.pecb.com
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 1 : Objectifs du RGPD

Énumérez quelques-uns des principaux objectifs du Règlement général sur la protection

des données (RGPD).

Réponse possible :

Les principaux objectifs du RGPD sont, entre autres, les suivants  :

• Protéger les droits, les libertés et les données à caractère personnel des personnes
physiques dans l'UE
• Définir des lois standardisées sur la protection des données dans tous les États
membres de l'Union européenne
• Aider les personnes physiques à comprendre comment leurs données à caractère
personnel sont utilisées
• Donner le pouvoir aux personnes physiques de porter plainte concernant l'utilisation
de leurs données à caractère personnel
• Accorder aux autorités de régulation le pouvoir de prendre des mesures contre les
organismes qui ne se conforment pas aux exigences du RGPD ou qui causent des
violations de données
• Éliminer les incohérences des lois nationales en actualisant la législation pour mieux
répondre aux défis de la protection des données, tels que ceux posés par Internet, les
médias sociaux et le marketing comportemental
• Réduire les obstacles rencontrés par les organismes en facilitant la libre circulation
des données dans toute l'Union européenne

© 2021 PECB |2
FORMATION CERTIFIED DATA PROTECTION OFFICER

© 2021 PECB |3
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 2 : Principes de protection des données

Après avoir lu l'étude de cas, expliquez pourquoi il est important pour Medicus Health de
se conformer à l'article 5 du RGPD, Principes relatifs au traitement des données à
caractère personnel.

Réponse possible :

Étant donné que Medicus Health collecte et traite des données à caractère personnel de
citoyens de l'UE, il est essentiel que l'organisme se conforme aux exigences du RGPD. En
outre, l'organisme doit traiter les données à caractère personnel de ses patients sur la
base des principes définis à l'article  5, tels que légalité, équité et transparence, limitation
de la finalité, minimisation des données, exactitude, limitation du stockage, intégrité et
confidentialité.

Conformément à l'article  5, l'organisme doit  :

• Traiter de manière licite, loyale et transparente les dossiers médicaux de ses patients
• Collecter les données prescrites, les demandes de remboursement et les dossiers
médicaux électroniques uniquement dans le but d'établir des modèles qui sont
ensuite utilisés pour mesurer l'efficacité des thérapies médicales nouvellement
découvertes
• Influencer positivement la précision du diagnostic et le traitement des maladies
• Ne pas conserver les dossiers médicaux des patients après la découverte de
nouveaux médicaments et thérapies médicales
• Traiter les dossiers médicaux de manière à garantir une sécurité appropriée de ces
dossiers, y compris la protection contre le traitement illicite ou la perte ou la
détérioration accidentelle

De cette manière, non seulement l'organisme sera en conformité au RGPD et évitera donc
des amendes financières, mais il gagnera aussi une réputation positive dans le pays où il
opère pour son intégrité et sa confidentialité dans le traitement des données à caractère
personnel.

© 2021 PECB |4
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 3 : Droits de la personne concernée

Indiquez au moins deux actions qu'une organisation peut entreprendre afin de respecter
et de protéger le droit d'être informé et le droit d'opposition du RGPD.

Réponse possible :

Le droit d'être informé

1. Établir un « avis de protection de la vie privée » qui oblige l'organisme à fournir à la

personne concernée les informations suivantes  : identité et coordonnées du
responsable du traitement ; coordonnées du délégué à la protection des données ;
finalités du traitement des données ; destinataires ou catégories de destinataires des
données à caractère personnel ; intention de l'organisme de transférer des données à
caractère personnel à un pays tiers ou à une organisation internationale, etc.
2. Établir une politique qui oblige l'organisme, au moment où les données sont
obtenues, à fournir à la personne concernée les informations suivantes  : durée de
conservation des données à caractère personnel ; existence du droit de la personne
concernée de demander à l'organisme l'accès aux données à caractère personnel,
leur rectification ou leur effacement, ou une limitation du traitement ; droit de déposer
une plainte auprès de l'autorité de contrôle ; existence d'un processus décisionnel
automatisé, y compris le profilage, et la signification et les conséquences de ce
traitement pour la personne concernée, etc.

Le droit d'opposition

1. Demander à la personne concernée son autorisation lors du traitement de ses

données à caractère personnel
2. Établir une procédure de traitement des plaintes, par laquelle les objections de la
personne concernée sont traitées et résolues
3. Établir des politiques et des procédures qui obligent l'organisme à fournir des
informations à la personne concernée, comme son droit de s'opposer au traitement
de ses données à caractère personnel dans certaines circonstances

© 2021 PECB |5
 FORMATION CERTIFIED DATA PROTECTION OFFICER

4. Fournir des preuves raisonnables du traitement des données à caractère personnel

dans le cadre des droits légaux

Quiz 1

1. Pourquoi l'UE a-t-elle décidé d'adopter le RGPD ?

A. Souligner l'importance du responsable du traitement
B. Faciliter la libre circulation des données dans l'UE
C. Faciliter la libre circulation des données en dehors de l'UE
D. Encourager la coopération avec d'autres États en dehors de l'UE

2. Laquelle des expressions ci-dessous est définie dans le RGPD comme : « les
données à caractère personnel résultant de traitements techniques spécifiques
liés aux caractéristiques physiques, physiologiques ou comportementales d'une
personne physique, qui permettent ou confirment l'identification unique de cette
personne physique, telles que les images faciales ou les données
dactyloscopiques » ?
A. Données génétiques
B. Profilage
C. Données à caractère personnel
D. Données biométriques

3. Quelle partie du RGPD fournit le contexte, la direction et l'orientation de ses

exigences afin qu'elles soient mieux comprises ?
A. Considérants
B. Articles
C. Directives
D. Citations

© 2021 PECB |6
 FORMATION CERTIFIED DATA PROTECTION OFFICER

4. Selon l'article 10 du RGPD, quand faudrait-il procéder au traitement de données à

caractère personnel relatives à des condamnations pénales et infractions ou à des
mesures de sûreté connexes ?
A. Lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public
ou à l'exercice de l'autorité publique dont est investi le responsable du
traitement
B. Lorsque le traitement est autorisé par le droit de l'Union ou des États membres
prévoyant des garanties appropriées pour les droits et libertés des personnes
concernées et qu'il est effectué sous le contrôle d'une autorité publique
C. Lorsque la personne concernée a donné son consentement explicite au
traitement de ces données à caractère personnel pour une ou plusieurs finalités
déterminées
D. Lorsque le traitement est nécessaire à la protection des intérêts vitaux de la
personne concernée

5. Selon l'article 22 du RGPD, pourquoi le consentement de la personne concernée

est-il requis ?
A. Conserver les données à caractère personnel de la personne concernée aussi
longtemps que le responsable du traitement l'estime nécessaire
B. Sensibiliser à l'importance du consentement au sein de l'organisation
C. Traiter les données de manière transparente
D. Disposer d'une source valable pour l'évaluation du profilage automatisé

6. Une organisation informe un client qu'elle va détruire ses données à caractère

personnel puisqu'elles ne sont plus nécessaires. Le client peut-il, selon le RGPD,
empêcher l'effacement des données à caractère personnel et imposer à la place la
restriction de leur utilisation ?

© 2021 PECB |7
 FORMATION CERTIFIED DATA PROTECTION OFFICER

A. Oui, en retirant le consentement

B. Non, les données à caractère personnel sont détruites lorsqu'elles ne sont plus
nécessaires
C. Oui, en cas de traitement illicite
D. Oui, uniquement en fournissant une déclaration complémentaire

7. Selon le RGPD, laquelle des options ci-dessous est autrement connue sous le nom
de principe de « minimisation des données » ?
A. Les données à caractère personnel doivent être adéquates, pertinentes et
limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles
sont traitées
B. Les données à caractère personnel doivent être exactes et, le cas échéant,
mises à jour
C. Les données à caractère personnel ne doivent être acquises qu'à des fins
précises et légitimes
D. Les données à caractère personnel doivent être traitées de manière à assurer
une sécurité appropriée, y compris la protection contre un traitement illicite ou
une perte, une destruction ou une détérioration accidentelle

8. Laquelle des déclarations suivantes concernant le droit à la limitation du

traitement n'est PAS correcte ?
A. La personne concernée peut demander aux responsables du traitement de
cesser le traitement de ses données si l'exactitude des données à caractère
personnel est contestée par la personne concernée
B. La personne concernée peut demander au responsable du traitement de cesser
le traitement de ses données si des données à caractère personnel sont traitées
de manière illicite
C. La personne concernée peut demander aux responsables du traitement de
cesser le traitement de ses données si le responsable du traitement n'a plus
besoin des données à caractère personnel aux fins du traitement

© 2021 PECB |8
 FORMATION CERTIFIED DATA PROTECTION OFFICER

D. La personne concernée peut demander aux responsables du traitement de

cesser le traitement de ses données lorsque celui-ci est effectué par des
moyens automatisés

9. Quel est le rôle de l'autorité de contrôle ?

A. Veiller à ce que le RGPD soit appliqué de manière cohérente dans l'UE
B. Veiller à ce que les organisations respectent les droits des personnes
C. Prendre des décisions contraignantes à l'égard du Comité européen de la
protection des données (EDPB)
D. Fournir des lignes directrices sur la manière d'interpréter les concepts
fondamentaux du RGPD

10. À qui incombe la mission de coopérer avec l'autorité de contrôle ?

A. Coordinateur de la protection des données
B. Responsable de la sécurité de l'information
C. Seulement le sous-traitant
D. Le responsable du traitement et le sous-traitant

11. Quels types de données ne sont PAS considérés comme des données sensibles ?
A. Opinions politiques
B. Origine ethnique
C. Données génétiques
D. Adresse de résidence

12. Que garantit le principe de responsabilité ?

A. Le responsable du traitement des données respecte tous les principes du
RGPD
B. Le traitement est basé sur le consentement
C. Les données à caractère personnel sont protégées
D. Le responsable du traitement doit répondre aux demandes dans un délai d’un à
trois mois

© 2021 PECB |9
 FORMATION CERTIFIED DATA PROTECTION OFFICER

13. Dans quelles circonstances spécifiques les catégories particulières de données

peuvent-elles être traitées ?
A. Lorsque le délégué à la protection des données l'approuve
B. Chaque fois que le responsable du traitement approuve le traitement de
catégories particulières de données
C. Lorsque le directeur du service de la conformité le demande
D. Lorsqu'il y a un intérêt légitime en place

© 2021 PECB | 10
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Devoir 1 : Divulgation de données à caractère personnel

James a rempli un formulaire de demande de prêt et l'a soumis à une institution de

microfinance. Un collègue de James a été contacté sur les médias sociaux par Volker,
un employé de l'institution de microfinance, qui se trouvait être un vieil ami et qui a
demandé des informations supplémentaires concernant la stabilité financière de
James. Considérant que l'institution de microfinance doit enquêter sur le profil de
James avant de lui accorder un prêt, Volker a approché son ami pour un café où il a
révélé des données à caractère personnel de James, notamment son numéro
d'identification, le nom de son père, son adresse personnelle et son numéro de
téléphone. Au cours de leur conversation, Volker a également révélé des informations
telles que la somme d'argent que James a demandée et le but du prêt. En outre, le
collègue de James a également été interrogé sur son opinion quant à la capacité de
James à rembourser le prêt et a été invité à fournir des informations sur son mode de
vie et ses antécédents financiers. Le collègue a refusé de répondre, car l'institution de
microfinance devrait avoir mis en place les mesures et les politiques nécessaires pour
examiner une demande de prêt et prendre une décision quant à son émission ou non.
Après le rejet de la demande de prêt, le collègue a informé James de ce qui s'était
passé.

Après en avoir été informé, James a déposé une plainte auprès du bureau du
commissaire à la protection des données concernant l'utilisation abusive de ses
données à caractère personnel par l'institution de microfinance et a demandé que des
mesures appropriées soient prises.

À la suite de ces développements, l'institution de microfinance vous a confié le rôle de

délégué à la protection des données pour les conseiller sur cette question. À ce titre, à
partir des informations susmentionnées, expliquez si l'une des exigences du RGPD a été
violée et, si tel est le cas, expliquez qui est responsable de la violation des données et
recommandez les mesures à prendre dans cette situation.

Réponse possible :

Selon les informations présentées dans le scénario, l'institution de microfinance a

divulgué les données à caractère personnel de la personne concernée sans son

© 2021 PECB | 11
 FORMATION CERTIFIED DATA PROTECTION OFFICER

autorisation. Cela a été fait par un employé de l'institution qui n'a pas suivi la politique de
protection des données de l'institution.
Bien que les circonstances, dans ce cas, aient impliqué une divulgation verbale non
autorisée de données à caractère personnel à un tiers, cela ne rend pas la situation
moins grave que s'il s'agissait d'une divulgation sous forme écrite.
Un certain nombre d'exigences du RGPD ont été violées dans cette affaire  : les exigences
énoncées aux articles  5, 6 et 24. Toutefois, l'institution de microfinance n'a pas mis en
place de mesures de sécurité adéquates pour se protéger contre le traitement et la
divulgation non autorisés de données à caractère personnel.

Bien que l'employé de l'institution de microfinance soit responsable de la divulgation des

données à caractère personnel, l'institution sera soumise à des amendes. L'institution de
microfinance devrait indemniser la personne concernée pour la violation de ses données
à caractère personnel.

Les mesures recommandées que l'institution de microfinance devrait prendre sont

notamment les suivantes  :
• Organiser un programme de formation et de sensibilisation pour les membres de son
personnel où des sujets tels que les risques liés à la divulgation de données à
caractère personnel sont expliqués
• Veiller à ce que les employés associés au traitement des données à caractère
personnel soient conscients de leurs responsabilités et obligations
• Mettre en œuvre des procédures disciplinaires appropriées pour la divulgation de
données à caractère personnel par les employés

© 2021 PECB | 12
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 4 : Délégué à la protection des données

Définissez les missions du DPO de Medicus Health, M. Nash, qui contribueront à assurer
le respect du RGPD. De plus, identifier les articles du RGPD relatifs à ces missions.
Enfin, expliquez les missions dont le DPO n’est pas responsable.

Réponse possible :

M.  Nash devrait être impliqué dans toutes les questions liées à la protection des données
à caractère personnel au sein de l'organisme. Les missions du délégué à la protection
des données sont définies dans l'article  39 du RGPD, et certaines d'entre elles
comprennent  :
• Veiller à ce que Medicus Health comprenne son rôle de responsable du traitement et
de sous-traitant
• Veiller à ce que Medicus Health comprenne ses obligations en matière de protection
des données à caractère personnel
• Veiller à ce que Medicus Health connaisse les exigences et les sanctions de la loi
fédérale allemande sur la protection des données (BDSG)
• Fournir des conseils sur la manière dont les dossiers médicaux des patients
devraient être recueillis
• Conseiller Medicus Health sur le moment où il convient de procéder à l'analyse
d'impact relative à la protection des données (AIPD), par exemple l'utilisation de
rapports médicaux dans le cadre d'un traitement automatisé pour établir des
modèles
• Veiller à ce que Medicus Health soit en mesure de répondre aux demandes d'accès
des personnes concernées
• Servir de point de contact entre l'autorité de contrôle et Medicus Health
• Mener des programmes de sensibilisation et de formation des employés à la
protection des dossiers médicaux des patients, en mettant l'accent sur les personnes
impliquées dans les activités de traitement des données
• Créer un plan d'action pour l'amélioration basé sur les résultats de l'analyse des
écarts
• Promouvoir la protection des données et faire rapport à la direction générale de
Medicus Health
• Veiller à ce que la politique de protection des données soit accessible, comprise et
suivie par les employés de Medicus Health

© 2021 PECB | 13
 FORMATION CERTIFIED DATA PROTECTION OFFICER

• Veiller à ce que la politique de protection des données s'aligne sur les activités et la
culture de Medicus Health
• Revoir d'autres politiques liées à la protection des données, telles que la politique de
contrôle d'accès, la politique de conservation des dossiers, etc.
• Veiller à ce que les registres des activités de traitement contiennent des informations
sur les coordonnées du représentant et du DPO de Medicus Health, la finalité du
traitement des données, les transferts vers des pays tiers ou des organismes
internationaux, etc.

Selon le RGPD, M.  Nash n'est cependant pas responsable de la mise en œuvre des
politiques, procédures et processus de conformité du RGPD au sein de Medicus Health,
de la réalisation d'analyses d'impact relatives à la protection des données au sein de
l'organisme et de la prise de décisions au nom de l'organisme.

© 2021 PECB | 14
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 5 : Responsable de la sécurité de l’information et délégué à la protection des

données

Expliquez la différence entre le responsable de la sécurité de l’information (RSI) et le

délégué à la protection des données (DPO), et pourquoi il n’est pas conseillé que le RSI
joue le rôle de DPO en même temps.

Réponse possible :

La principale différence entre le responsable de la sécurité de l'information (RSI) et le

délégué à la protection des données (DPO) réside dans les tâches qu'ils accomplissent.
Le RSI est chargé des questions de sécurité de l'information et de protection de la vie
privée et joue un rôle clé dans la mise en œuvre du programme de conformité du RGPD, y
compris les politiques, processus, procédures, solutions informatiques qui soutiennent
les objectifs métiers, les principes de protection des données, etc. au sein de l'organisme.
D'autre part, le rôle du DPO est de s'assurer que les droits et libertés des personnes
concernées ne sont pas violés et que l'organisme se conforme au RGPD. Le DPO n'est
pas responsable de la mise en œuvre du programme de conformité au RGPD ni de tout
autre projet similaire.

Il est très important que le RSI soutienne le rôle du DPO, mais il est conseillé de séparer
ces rôles au sein d'un organisme, car cela entraînera souvent un conflit d'intérêts entre
eux. Le RSI a pour mission de concevoir des solutions informatiques qui soutiennent les
objectifs de l'organisme et qui respectent les principes de protection des données dès la
conception et par défaut.

Le DPO, quant à lui, joue le rôle d'auditeur de protection des données à caractère
personnel, en contrôlant et en revoyant les missions accomplies par le RSI, et en
conseillant en conséquence, ce qui entraîne un chevauchement de ces rôles.

© 2021 PECB | 15
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 6 : Politique de protection des données

En vous basant sur l’étude de cas, expliquez ce qui a causé la violation de données chez
Medicus Health et quels conseils devrait donner le DPO dans de telles circonstances.

Réponse possible :

À la lecture de l'étude de cas, on peut conclure que la violation des données est due à la
violation de la politique de protection des données, puisque cette politique exige que les
clés soient stockées sur un dispositif de cold storage. Dans ce cas, les méthodes de
chiffrement et de pseudonymisation utilisées pour protéger l'identité des personnes
concernées ont été annulées en raison de l'accès de l'attaquant aux clés de
déchiffrement. Cela est également dû au fait que la politique de protection des données
n'a été communiquée qu'aux responsables de l'organisme, alors que les autres employés
de Medicus Health n'étaient pas au courant de l'existence d'une telle politique.

Afin que Medicus Health puisse mieux protéger ses données et éviter le risque de
violation des données, M.  Nash (le DPO) peut leur conseiller d'ajouter les exigences de
mesures techniques sur la protection des données, comme généraliser les données avec
le k-anonymat et la l-diversité, sauvegarder les clés de déchiffrement sur un dispositif de
cold storage comme il est indiqué dans la politique, ajouter du bruit aux données, etc. Il
devrait également organiser des sessions de sensibilisation et de formation concernant
la politique de protection des données pour tous les employés de l'organisme, afin de
s'assurer que la politique est communiquée à tout le personnel.

© 2021 PECB | 16
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 7 : Registres des activités de traitement

Selon les informations fournies dans la partie B de l’étude de cas, à savoir le Registre
des activités de traitement, évaluez si M. Nash a correctement conseillé Medicus Health
pour la création de ce registre.

Réponse possible :

M.  Nash n'a pas correctement conseillé Medicus Health sur la création du registre des
activités de traitement puisque, selon l'article  30, paragraphe  1c du RGPD, le registre doit
contenir une description des personnes concernées et des catégories de données à
caractère personnel. En outre, l'article  33, paragraphe  1d, stipule que le registre doit
également contenir les catégories de destinataires des données à caractère personnel
(c'est-à-dire à qui les données à caractère personnel ont été communiquées), y compris
les destinataires dans des pays tiers ou des organismes internationaux. Même si les
détails concernant le lieu de transfert des données, y compris le pays et les liens vers les
documents connexes, sont spécifiés dans le registre de l'activité de traitement de
Medicus Health, les informations ne sont pas complètes et la situation présente un non-
respect du RGPD.

Bien qu'étant un responsable du traitement, Medicus Health est également un sous-

traitant, de sorte que le registre des activités de traitement devrait également contenir
des informations sur le sous-traitant, comme l'exige l'article  30, paragraphe  2 du RGPD.

© 2021 PECB | 17
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 8 : Gestion des risques dans le cadre du RGPD

Expliquez ce qu’une approche de la protection des données fondée sur le risque prend
en compte et quelles mesures les organismes doivent prendre pour effectuer un
processus d’appréciation des risques afin d’atteindre leurs objectifs.

Réponse possible :

L'approche par les risques est une étape très importante lors du traitement, de la collecte,
de l'utilisation ou du stockage de données à caractère personnel. Les organismes
devraient tenir compte de tous les risques auxquels ils sont confrontés et prendre les
mesures nécessaires pour garantir que les données sont correctement contrôlées et
protégées. L'approche par les risques aide les organismes à se concentrer sur les
questions susceptibles d'entraîner un risque élevé pour la protection des données à
caractère personnel. En outre, elle aide les organismes à maximiser les avantages
potentiels du traitement des données à caractère personnel.

Afin d'atteindre leurs objectifs, les mesures que les organismes doivent prendre pour
réaliser un processus d'appréciation des risques comprennent l'identification, l'analyse et
l'évaluation des risques  :

• Identifier les sources de risque, les zones d'impact, les événements (y compris les
changements de circonstances), leurs causes et leurs conséquences potentielles
• Déterminer le niveau de risque en fonction des conséquences et de la vraisemblance
évaluées
• Estimer la gravité et la vraisemblance des risques identifiés sur la base des critères
de risque

© 2021 PECB | 18
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Quiz 2

1. À qui devrait être communiquée la politique de protection des données ?

A. Aux employés directement impliqués dans les activités de protection des
données
B. À la direction générale uniquement
C. À tous les employés de l’organisme
D. Au délégué à la protection des données

2. Quand le contrôle, l’évaluation et la revue de la politique de protection des

données devraient-ils être effectués ?
A. Seulement lorsque des changements majeurs surviennent
B. Régulièrement
C. Lorsque la réglementation nationale l’exige
D. Lorsque l’autorité de contrôle l’exige

3. Quelles aptitudes, compétences et connaissances devrait posséder le délégué à la

protection des données ?
A. Connaissances en finances
B. Expertise en audit interne
C. Expertise dans la mise en œuvre du RGPD
D. Connaissance du secteur d’activité et du fonctionnement de l’organisme

4. Parmi les éléments suivants, lesquels relèvent de la responsabilité du délégué à la

protection des données ?
A. Conseiller les responsables du traitement ou les sous-traitants en ce qui
concerne l’analyse de l’impact sur la protection des données et surveiller ses
résultats
B. Mettre en œuvre le RGPD au sein de l’organisme
C. Mener des audits internes au sein de l’organisme
D. Établir la politique de l’organisme relative à la protection des données

© 2021 PECB | 19
 FORMATION CERTIFIED DATA PROTECTION OFFICER

5. Parmi les éléments suivants, lequel NE relève PAS de la responsabilité du délégué

à la protection des données ?
A. Effectuer une analyse d’impact relative à la protection des données (AIPD)
B. Fournir des conseils au responsable du traitement ou au sous-traitant pour
l’AIPD
C. Fournir des conseils sur les programmes de sensibilisation et de formation du
personnel
D. Contrôler l’application des pratiques décrites dans la politique de protection des
données

6. Que détermine le responsable du traitement des données ?

A. Les fonctions du délégué à la protection des données (DPO)
B. Les méthodes utilisées pour surveiller l’analyse d’impact relative à la protection
des données
C. Quand licencier le DPO
D. La manière dont les données à caractère personnel sont stockées

7. Comment l’appréciation des conséquences (qui fait partie du processus

d’appréciation des risques) devrait-elle commencer ?
A. En déterminant l’impact des menaces sur les actifs et les processus
opérationnels
B. En dressant la liste des ressources concernées
C. En déterminant les menaces et les vulnérabilités
D. En identifiant les scénarios d’incidents connexes

8. Qu’est-ce que l’identification des activités de traitement ?

A. Le processus de définition des personnes qui traiteront les données
B. Le processus de décision concernant les méthodes de traitement des données
C. Le processus consistant à déterminer la provenance des données, la manière
dont elles sont traitées et le lieu où elles sont transférées
D. Le processus d’identification des méthodes d’enregistrement des données de
l’organisme

© 2021 PECB | 20
 FORMATION CERTIFIED DATA PROTECTION OFFICER

9. Que devrait faire le délégué à la protection des données lorsqu’il prend des
décisions ?
A. Dépendre des décisions des responsables
B. Consulter le responsable du traitement ou le sous-traitant dans l’exécution de
ses missions quotidiennes
C. Consulter d’autres employés lors de la prise de toute décision
D. Être totalement indépendant lors de la prise de décisions et de l’exécution de
ses missions quotidiennes

10. Qui est le responsable du traitement des données ?

A. La personne ou l’organisme qui traite les données pour le compte d’un
responsable du traitement
B. La personne ou l’organisme qui traite les données au nom d’un délégué à la
protection des données
C. La personne ou l’organisme qui traite les données au nom de l’autorité de
contrôle
D. La personne ou l’organisme qui traite les données au nom des parties
prenantes de l’organisme

11. Quel est le rôle du délégué à la protection des données dans le processus de
gestion des risques ?
A. Déterminer
B. Conseiller et surveiller
C. Mettre en œuvre
D. Tester

12. Quel est le rôle du délégué à la protection des données dans l’acceptation des
risques ?
A. Décider des risques à accepter

© 2021 PECB | 21
 FORMATION CERTIFIED DATA PROTECTION OFFICER

B. Aider l’organisme à déterminer si le risque résiduel se situe dans la fourchette

d’acceptation des risques
C. Accepter le risque
D. Mettre en œuvre des méthodes d’acceptation des risques

13. Quand un délégué à la protection des données est-il désigné ?

A. Lorsque le traitement des données est effectué par les tribunaux
B. Lorsque les activités de base de l’organisme portent sur une petite échelle de
catégories spéciales de données
C. Dans les cas où une autorité ou un organisme public effectue le traitement de
données, à l’exception des cas où le traitement de données est effectué par les
tribunaux
D. Lorsque l’organisme ne dispose pas d’un service juridique

© 2021 PECB | 22
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 9 : Analyse d'impact relative à la protection des données

En vous basant sur l'étude de cas, examinez les rapports du processus d'analyse
d'impact relative à la protection des données (AIPD) et ses résultats. Ensuite,
déterminez si Medicus Health a effectué l'analyse d'impact relative à la protection des
données comme l'exige le RGPD et quelles informations supplémentaires devraient être
ajoutées dans les rapports, le cas échéant.

Étape 1 : Identifier la nécessité de réaliser une AIPD

Décrivez l'objectif du projet et le type de données traitées, puis identifiez la nécessité de faire une
AIPD.

Medicus Health utilise un logiciel pour collecter les dossiers médicaux des
patients, y compris les données prescrites, les demandes de remboursement et les
dossiers médicaux électroniques. Les données collectées servent d’éléments
d'entrée pour la plate-forme de traitement, qui est utilisée pour établir des modèles
et mesurer l'efficacité des médicaments et des thérapies médicales nouvellement
découverts.

Étape 2 : Décrire le flux d'information

Décrivez comment les données seront collectées, utilisées, stockées et supprimées, quelle est la
nature des données, si des catégories particulières de données sont incluses, combien de
personnes sont concernées et si les données seront partagées avec d'autres parties.

Les dossiers médicaux des patients sont recueillis dans des cliniques de santé
situées à Francfort, tandis que les technologies de traitement de l'information
utilisant des logiciels et du matériel informatique sont utilisées pour stocker,
récupérer et partager les dossiers médicaux des patients. Les données collectées
sont conservées sur les serveurs pendant 24 mois et sont ensuite supprimées. Au
cours de leur cycle de vie, ces dossiers médicaux seront partagés avec l'agence
clinique aux Pays-Bas.

© 2021 PECB | 23
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Étape 3 : Identifier la protection des données et les autres risques connexes

Décrivez les sources de risque, leur impact potentiel sur les personnes concernées et indiquez si le
risque global est classé comme faible, moyen ou élevé

Un ensemble de données spécifiques a été stocké dans la base de données dans

son format d'origine. En cas de violation des données à caractère personnel,
l'identité des personnes concernées serait révélée et la protection de leurs
données personnelles serait violée.

Étape 4 : Identifier et évaluer les mesures de protection des données

Identifiez les mesures à prendre pour réduire ou éliminer les risques identifiés à l'étape 3

Des mesures techniques de sécurité devraient être appliquées à l'ensemble des

données en utilisant des méthodes de pseudonymisation telles que le chiffrement.

Étape 5 : Documenter et signer les résultats de l'AIPD

Mesures approuvées par : M.F.

Magnus Fischer, PDG Mai 2018

Conseils du DPO fournis par : J.N.

John Nash, DPO Mai 2018

L'AIPD sera examinée par : M.F.

Magnus Fischer, PDG Mai 2018

Réponse possible :

Selon le RGPD, il est obligatoire de réaliser une analyse d'impact relative à la protection
des données si le traitement des données à caractère personnel implique des données

© 2021 PECB | 24
 FORMATION CERTIFIED DATA PROTECTION OFFICER

médicales. Medicus Health se conforme à cette exigence du RGPD. Toutefois, le rapport

du processus de l'AIPD et de ses résultats devrait également inclure  :
• Comment la nécessité de l'AIPD a été identifiée
• Description de la nature des données collectées et évaluation des catégories de
données à caractère personnel
• Nombre spécifique de personnes concernées
• Classification des risques identifiés

En général, toutes les étapes de l'AIPD ont été suivies avec succès. Toutefois, le rapport
du processus de l'AIPD et de ses résultats devrait être plus détaillé afin de se conformer
à l'exigence du RGPD relative à la conduite de l'AIPD pour les traitements de données à
caractère personnel susceptibles d'entraîner un risque élevé pour les droits et libertés
des personnes concernées.

© 2021 PECB | 25
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 10 : Articles du RGPD

Pour chacun des articles suivants du RGPD, fournissez au moins deux exemples de
preuve qui permettraient d'assurer la conformité à l'exigence respective.

Exemple : Article 24 Responsabilité du responsable du traitement

• L'organisme a mis en place des mesures techniques et organisationnelles

appropriées pour garantir que le traitement est effectué conformément au RGPD.
• L'organisme a mis en œuvre des politiques de protection des données.

Réponse possible :

1. Article 35, Analyse d'impact relative à la protection des données

• L'organisme a mis en place des procédures qui permettent de déterminer la
nécessité d'une AIPD.
• L'organisme a clairement identifié, apprécié et traité les risques liés à la
protection des données, y compris les risques de conformité et autres risques
organisationnels.
• L'organisme a établi et tient régulièrement des registres des risques.

2. Article 9, Traitement portant sur des catégories particulières de données à

caractère personnel
• L'organisme a identifié les cas où des données sensibles peuvent être traitées et
les a documentés.
• L'organisme a identifié les catégories de données à caractère personnel qui
doivent être traitées et a également identifié les données à caractère personnel
qui ne doivent pas être traitées. Ces catégories de données sont documentées.

3. Article 6, Licéité du traitement

• L'organisme a mis en place des mesures de sécurité pour atténuer les risques
inacceptables de protection des données qui ne peuvent être évités (en ne
collectant/n’utilisant pas les données) ou partagés.
• Le traitement des données à caractère personnel est couvert par l'appréciation et
le traitement des risques liés à l'information de l'organisme.
• Pour chaque type de traitement, l'organisme a identifié et documenté les motifs
de traitement licite (quels sont les intérêts légitimes, où les intérêts légitimes

© 2021 PECB | 26
 FORMATION CERTIFIED DATA PROTECTION OFFICER

sont utilisés), et la période de stockage des données requise pour l'avis de

traitement loyal.

4. Article 12, Transparence des informations et des communications et modalités de

l'exercice des droits de la personne concernée
• L'organisme a mis en place des mécanismes qui permettent aux personnes
concernées d'effectuer des enquêtes ou de déposer des plaintes concernant
leurs données à caractère personnel.
• L'organisme a mis en place des mécanismes permettant de répondre rapidement
dans un délai d'un mois et de conserver une trace de ces communications (y
compris la limitation ou la tarification des demandes excessives).

5. Article 28, Sous-traitant
• L'organisme a engagé un sous-traitant qui possède les connaissances et
l'expérience professionnelle nécessaires pour mettre en œuvre les mesures
techniques et organisationnelles.
• L'organisme a mis en place un processus permettant de vérifier si le sous-traitant
a agi et traité les données à caractère personnel conformément au contrat ou à
l'acte juridique.

© 2021 PECB | 27
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 11 : Protection des données et technologies

Expliquez l'impact du RGPD sur les nouvelles tendances et technologies qui collectent,
stockent et traitent les données à caractère personnel.

Réponse possible :

Le RGPD aura probablement un impact majeur sur les nouvelles technologies de collecte,
de stockage et de traitement des données à caractère personnel. Par conséquent, les
nouvelles technologies devront tenir compte des exigences élevées fixées par le RGPD
pour le traitement des données à caractère personnel. Elles doivent inclure la protection
des données dès la conception et par défaut, les méthodes de désidentification, telles
que l'anonymisation et la pseudonymisation, et respecter les droits des personnes
concernées, y compris les droits à l’effacement, d'accès aux données, à la portabilité, de
rectification et d'opposition.

Depuis l'entrée en vigueur du RGPD, la plupart des organismes (auxquels le RGPD est
applicable) ont commencé à mettre à niveau leurs plates-formes technologiques et à
modifier leurs pratiques de stockage et de traitement des données afin de réduire le
risque de non-conformité au RGPD. Suivant cette tendance émergente, les nouvelles
technologies devront offrir des fonctionnalités d'effacement, de désidentification et de
minimisation et être conçues en fonction des exigences légales sur la protection des
données. Ainsi, les nouvelles technologies aideront les organismes à se conformer au
RGPD.

Les technologies contribuent à accélérer la conformité au RGPD en permettant la gestion

des données, la découverte rapide des données à caractère personnel au sein de
l'organisme, la gestion des accès, l'automatisation des processus de protection des
données, ainsi que la pseudonymisation et l'anonymisation.

© 2021 PECB | 28
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Quiz 3

1. Dans lequel des scénarios suivants une AIPD n'est-elle PAS nécessaire ?
A. Lorsque l'organisme envisage d'adopter une nouvelle technologie pour faciliter
le traitement de données à grande échelle
B. Lorsque l'organisme traite des catégories particulières de données à caractère
personnel
C. Lorsque l'organisme utilise un traitement automatisé pour l'évaluation des
données à caractère personnel des personnes concernées
D. Lorsque le traitement de données à caractère personnel n'est pas susceptible
d'entraîner un niveau élevé de risque pour les droits et libertés des personnes
concernées

2. Pourquoi est-il important que le délégué à la protection des données comprenne le

processus de gestion des documents ?
A. Pour remplacer le processus de gestion de la documentation par des activités
de traitement des données à caractère personnel
B. Pour assurer une responsabilité proactive
C. Pour optimiser la recherche et la mise à jour de la documentation
D. Pour décrire les processus, les procédures et les mesures de sécurité

3. Laquelle des méthodes suivantes est une méthode d'anonymisation ?

A. Brouillage (scrambling)
B. Ajout de bruit aux données
C. Tokenization
D. Chiffrement

4. Pour quel type de données à caractère personnel la pseudonymisation devrait-elle

être utilisée ?
A. Genre
B. Nationalité
C. Profession
D. Données bancaires

© 2021 PECB | 29
 FORMATION CERTIFIED DATA PROTECTION OFFICER

5. Que devrait garantir le délégué à la protection des données lorsqu'il reçoit des
demandes d'effacement de données à caractère personnel ?
A. Le DPO ne devrait recevoir des copies des données que dans les cas où le
responsable du traitement le demande
B. Le DPO devrait veiller à ce que les copies liées à l'affaire ne soient conservées
que dans le bureau du plus haut niveau de direction
C. Le DPO devrait veiller à ce que les copies liées à l'affaire soient conservées pour
une durée indéterminée
D. Le DPO devrait s'assurer que l'effacement est irréversible et qu'aucune des
données supprimées ne peut être récupérée

6. Quel est le rôle du DPO dans l'analyse d'impact relative à la protection des
données ?
A. Le DPO mène l'AIPD en collaboration avec l'organisme
B. Le DPO conseille l'organisme lors de l'exécution de l'AIPD
C. Le DPO alloue les ressources nécessaires à la réalisation de l'AIPD
D. Le DPO décide de la méthodologie à suivre lors de la réalisation de l'AIPD

7. Quelles sont les missions du DPO en ce qui concerne les mesures de protection
des données ?
A. Mettre en œuvre les mesures de protection des données après avoir mené un
processus d'appréciation des risques et une AIPD
B. Évaluer les exigences en matière de protection des données et de la vie privée
C. Surveiller la mise en œuvre des mesures de protection des données
D. Sélectionner les mesures de protection des données en rapport avec le rôle de
l'organisme

8. Parmi les informations suivantes, quelles sont celles qui doivent être conservées
par le sous-traitant ?
A. Les délais d'effacement des différentes catégories de données

© 2021 PECB | 30
 FORMATION CERTIFIED DATA PROTECTION OFFICER

B. Les catégories de destinataires auxquels les données à caractère personnel ont

été ou seront communiquées
C. Les catégories de traitements effectués pour le compte de chaque
responsable du traitement
D. Une description des catégories de données à caractère personnel traitées

9. Quand une AIPD est-elle nécessaire ?

A. Lorsque le traitement n'est pas susceptible d'entraîner un niveau de risque élevé
B. Lorsque le traitement concerne des données de patients ou de clients par un
médecin ou un professionnel de la santé
C. Lorsque le traitement comprend des données au niveau régional ou national et
qu'il touche un grand nombre de personnes concernées
D. Lorsque le traitement est inclus dans la liste facultative des activités de
traitement

10. Quels documents le DPO devrait-il examiner pour s'assurer de la conformité au

RGPD ?
A. Procédure de réponse en cas de violation des données
B. Résultats de l’audit de certification
C. Documents relatifs aux supports utilisés pour communiquer des informations
D. Guides sur l'utilisation des supports amovibles

11. Quel est l'objectif de la protection des données par conception et par défaut ?
A. Mettre en place des systèmes informatiques qui respectent la vie privée des
personnes concernées
B. Créer des systèmes et des services qui minimisent les données grâce à des
paramètres favorables à la protection des données pendant leur cycle de vie
C. Créer des systèmes et des services qui suppriment les informations sensibles
d'un ensemble de données
D. Mettre en place des systèmes informatiques qui rendent difficile la récupération
d'informations sensibles dans un ensemble de données

© 2021 PECB | 31
 FORMATION CERTIFIED DATA PROTECTION OFFICER

12. Un organisme utilise le symbole # pour masquer les parties uniques des numéros
de cartes de crédit afin d'éviter l'identification des personnes concernées à partir
de leur numéro de carte de crédit. De quelle méthode de pseudonymisation s'agit-
il ?
A. Brouillage (scrambling)
B. Chiffrement
C. Masquage
D. Tokenization

13. Pourquoi le DPO devrait-il surveiller la mise en œuvre des mesures techniques de
sécurité ?
A. Pour créer des dispositifs de sécurité
B. Pour surveiller le traitement des données
C. Pour garantir la sécurité des opérations
D. Pour maximiser le traitement des données à caractère personnel

© 2021 PECB | 32
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Devoir 2 : Les trois principales fuites de données

British Airways, Marriott International et Google ont été condamnées à des millions
d'amendes pour leurs fuites de données. En outre, ces amendes représentent 90 % de
toutes les amendes du RGPD.

1. British Airways a déclaré que les réservations effectuées sur le site Web ba.com et
son application mobile du 21 août au 5 septembre 2018 ont été compromises.
Cette fuite de données a révélé les données à caractère personnel d'environ 380
000 clients, y compris leurs nom, adresse e-mail et numéro de carte de crédit.
British Airways a informé le Commissaire à l'information (ICO) et ses clients de
cette violation, comme l'exige le RGPD. L'ICO a annoncé que la fuite massive des
données a été causée par le détournement des clients de British Airways vers un
site frauduleux. De plus, l'ICO a déclaré que c'était la première amende rendue
publique depuis l'entrée en vigueur du RGPD.

2. Marriott International a déclaré que les données à caractère personnel, notamment

les numéros de cartes de crédit, adresses, numéros de téléphone et numéros de
passeport, d'environ 339 millions d'invités ont été compromises, dont 30 millions
sont des résidents de pays de l'EEE. Marriott International a déclaré que son
système de réservation, Starwood, a été attaqué et que des données à caractère
personnel ont été copiées et chiffrées. L'ICO a déclaré que la fuite de données a
compromis les données à caractère personnel des clients du Marriott International
de 2014 à septembre 2018. Bien qu'aucun détail technique n'ait été rendu public,
Marriott a pris connaissance de la violation de données pour la première fois
lorsqu'une requête inhabituelle dans la base de données a été faite par un utilisateur
ayant des droits d'administrateur. Les enquêtes ont montré que les attaquants ont
pris le contrôle de Starwood grâce à ce compte administrateur.

3. Google a été condamnée à une amende pour avoir enfreint le RGPD. La

Commission Nationale de l'Informatique et des Libertés (CNIL) a déclaré que
Google a été condamnée à une amende de 50 millions de dollars parce qu'elle a
violé le principe de transparence lorsque ses utilisateurs d’appareils Android ont
créé un compte Google, qu'elle a offert des informations inadéquates si l'utilisateur
demandait à être informé de toutes les données collectées par Google, et que le

© 2021 PECB | 33
 FORMATION CERTIFIED DATA PROTECTION OFFICER

processus d'obtention du consentement utilisé pour ajouter la personnalisation

présentait des lacunes.

Selon les informations fournies sur les trois plus grandes violations de données
sanctionnées par le RGPD, discutez de ce que vous pensez de ces situations et
expliquez quelles exigences du RGPD présentées par chacun des organismes ont été
violées. En outre, en tant que délégué à la protection des données, comment aideriez-
vous ces organismes à prévenir de telles violations de données ?

Réponse possible :

1. Selon les informations fournies dans le premier scénario, British Airways a violé les
exigences de l'article  25, Protection des données dès la conception et protection des
données par défaut. Elle n'a pas mis en œuvre les mesures techniques et
organisationnelles appropriées pour se conformer aux principes de protection des
données. En tant que DPO de British Airways, je suggérerais d'utiliser le chiffrement
comme méthode de pseudonymisation afin de réduire l'impact de ces violations sur
les droits des personnes concernées.

2. Marriott International a violé les exigences de l'article  25, Protection des données
dès la conception et protection des données par défaut parce que, comme dans le
cas de British Airways, il n'a pas mis en œuvre les mesures techniques et
organisationnelles nécessaires pour se conformer aux principes de protection des
données. En tant que DPO de Marriott International, je suggérerais de revoir les droits
des utilisateurs qui ont accès au système de réservation et de mettre en œuvre des
mesures de sécurité de la base de données telles que les requêtes autorisées.

3. Google a violé les exigences de l'article  5, Principes relatifs au traitement des

données à caractère personnel. Cet article exige que les données à caractère
personnel soient traitées de manière transparente à l'égard de la personne
concernée, ce que Google n'a pas fait. Il a également violé les exigences de l'article  7,
Conditions applicables au consentement, car ces exigences n'ont pas été pleinement
respectées et le processus d'obtention du consentement présente des lacunes. En
tant que DPO de Google, je suggérerais de modifier la procédure d'obtention du
consentement afin qu'elle soit conforme aux exigences de l'article  7 du RGPD.

© 2021 PECB | 34
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 12 : Violation de données à caractère personnel

En vous référant au formulaire de notification de violation de données à caractère

personnel que Medicus Health a mis en place lors de la phase de mise en œuvre du
RGPD, précisez si la société a fourni toutes les informations nécessaires lorsqu'elle a
notifié la violation de données à caractère personnel à l'autorité de contrôle.

Réponse possible :

Medicus Health n'a pas fourni toutes les informations nécessaires lorsqu'elle a informé
l'autorité de contrôle de la violation des données à caractère personnel qui s'est produite.
Elle n'a pas inclus les trois éléments suivants dans le formulaire de notification de
violation de données à caractère personnel  :

• Si les données qui ont été violées font ou non l'objet d'une AIPD
• Type de soutien informatique que fournit Medicus Health
• Mesures prises pour atténuer les effets négatifs de la violation des données

Considérant que le troisième élément est une exigence du RGPD lui-même (article  33,
paragraphe  3d), le DPO devrait conseiller à Medicus Health de fournir une explication de
l'exclusion de ces informations en indiquant également la date prévue de la soumission à
l'autorité de contrôle. Cela peut être fait conformément à l'article  33, paragraphe  4, qui
stipule que l'organisme peut fournir des informations de manière échelonnée sans autre
retard indu.

© 2021 PECB | 35
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 13 : Audit interne de protection des données

À la suite de la réalisation d'un audit interne de protection des données, le DPO a

constaté que la Politique de protection des données n'a été communiquée qu'aux
managers de Medicus Health, alors que le reste des employés ignoraient l'existence de
cette politique. En outre, l'audit interne de protection des données a révélé que les
fichiers logs des changements qui surviennent dans les serveurs de l'organisme ne sont
pas conservés comme le prévoit la politique.

Une fois rédigées les conclusions de l'audit interne de protection des données, quelles
devraient être les actions futures du DPO ? En outre, comment le DPO s'assurerait-il que
les actions proposées sont appliquées ?

Réponse possible :

Après avoir identifié les non-conformités, le DPO doit les documenter en créant un
rapport de non-conformité. Ce rapport devrait comprendre les preuves à l'appui de la
constatation, les critères d'audit pour lesquels la non-conformité a été détectée (en
l'occurrence, les articles  24, paragraphe  2, et 39, paragraphe 1  b du RGPD), la description
de la non-conformité et la conclusion (non-conformité mineure ou majeure).
En outre, le DPO devrait aider Medicus Health à remplir ses obligations en matière de
protection des données en lui conseillant de communiquer la politique de protection des
données à tous les employés, en particulier à ceux qui participent directement aux
activités de traitement des données à caractère personnel et jouent un rôle essentiel
dans la protection des droits et libertés des personnes concernées. Le DPO devrait
également organiser une session de formation et de sensibilisation concernant
l'utilisation de la politique de protection des données et l'importance de la bonne tenue et
de la mise à jour continue des logs qui contiennent les changements de serveur.
Le DPO devrait faire savoir qu'il est essentiel de mettre immédiatement en œuvre les
actions proposées ; le manque de formation et de sensibilisation peut entraîner de graves
violations de données. Le DPO devrait faire le suivi avec Medicus Health concernant les
progrès de la communication de la politique de protection des données à tous les
membres du personnel et utiliser des sondages, des entretiens et des tests pour
s'assurer que tous les employés la comprennent.

© 2021 PECB | 36
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Exercice 14 : Amélioration continue

Comment le DPO contribuerait-il à la création d'une culture d'amélioration continue de la

protection des données dans le cadre de Medicus Health ? Présentez au moins trois
actions que le DPO pourrait entreprendre pour établir une culture d'amélioration
continue au sein de Medicus Health et expliquez comment cela pourrait être pertinent
pour la mise en œuvre du RGPD.

Réponse possible :

L'amélioration continue de la protection des données et des mesures techniques et

organisationnelles liées à la protection des données est un effort permanent de Medicus
Health. Malgré le fait que l'organisme contribue directement à la conformité au RGPD,
une culture d'amélioration continue l'aide à mettre à jour sa technologie, à faire face à la
diversité croissante des menaces et à améliorer son organisation en général.

Les actions que le DPO devrait entreprendre pour établir une culture d'amélioration
continue au sein de Medicus Health comprennent les suivantes  :
• Mener des programmes de formation et de sensibilisation concernant l'importance
de la protection des données et la conformité au RGPD. Le DPO devrait également
procéder à des tests et à des discussions avec les employés afin de vérifier les
compétences du personnel acquises grâce aux programmes de sensibilisation et de
formation. Cela aiderait Medicus Health à se conformer à l'article  39, paragraphe 1  b.
• Conseiller à Medicus Health d'actualiser et d'améliorer continuellement les mesures
techniques et organisationnelles des activités de protection des données en fonction
des dernières tendances technologiques. Cela aiderait Medicus Health à se
conformer à l'article  24, paragraphe  1, à l'article  25 et à l'article  28, paragraphe  1.
• Conseiller Medicus Health sur le moment où il convient de procéder à une analyse
d'impact relative à la protection des données afin de réduire l'impact du risque et
d'éviter les risques futurs. Cela aiderait Medicus Health à se conformer à l'article  35,
paragraphe  2.

© 2021 PECB | 37
 FORMATION CERTIFIED DATA PROTECTION OFFICER

Quiz 4

1. Un organisme a été confronté à des violations de données à caractère personnel

au sein de son département financier. Selon les exigences du RGPD, que faut-il
faire dans ce cas ?
A. L'incident doit être signalé à tous les employés de l'organisme au plus tard
72 heures après en avoir eu connaissance
B. L'incident doit être signalé à l'autorité de contrôle au plus tard 72 heures après
en avoir eu connaissance
C. L'incident doit être signalé à l'autorité de contrôle au plus tard 24 heures après
en avoir eu connaissance
D. L'incident doit être signalé aux personnes concernées au plus tard 72 heures
après en avoir eu connaissance

2. En quoi la mise en place d'un processus de gestion des incidents aide-t-elle les
organismes ?
A. Détecter, signaler et évaluer les incidents de sécurité de l'information
B. Détecter et corriger les incidents de sécurité de l'information après leur
survenance
C. Corriger les incidents de sécurité de l'information après leur survenance
D. Traiter de grandes catégories de données

3. Selon l'article 34 du RGPD, qui doit communiquer la violation de données à la

personne concernée et quand ?
A. Le délégué à la protection des données devrait informer la personne concernée
de toute violation des données à caractère personnel dans un délai d'un mois

© 2021 PECB | 38
 FORMATION CERTIFIED DATA PROTECTION OFFICER

B. Le délégué à la protection des données doit, en tout état de cause, informer la

personne concernée chaque fois qu'une violation, même minime, des données à
caractère personnel de la personne concernée s’est produite
C. Lorsqu'une violation de données à caractère personnel est susceptible
d'engendrer un risque élevé pour les droits et libertés d'une personne
physique, le responsable du traitement communique la violation de données à
caractère personnel à la personne concernée dans les meilleurs délais
D. Lorsque la violation de données à caractère personnel est susceptible
d'entraîner un risque élevé pour les droits et libertés des personnes physiques,
le délégué à la protection des données communique immédiatement avec la
personne concernée

4. Quel est le rôle du délégué à la protection des données dans la gestion des
incidents et des violations de données à caractère personnel ?
A. Surveiller et évaluer le plan de gestion des incidents et de réponse aux
violations de données à caractère personnel
B. Établir la procédure de gestion des incidents
C. Faire face aux violations de données
D. Attribuer des rôles et des responsabilités aux personnes qui s'occuperont de la
gestion des incidents

5. Quel est l'objectif de la mesure dans le contexte de la protection des données ?

A. Surveiller les technologies utilisées pour identifier les violations de données
B. Évaluer l'efficacité des processus et procédures de protection des données en
place
C. Attribuer des rôles et des responsabilités appropriés au personnel
D. Surveiller la direction générale de l'organisme

6. Lequel des éléments suivants n’est PAS une mission du délégué à la protection
des données en relation avec un audit interne sur la protection des données ?
A. Réaliser des audits internes sur toutes les activités de traitement des données
B. Conseiller l'organisme pour le suivi des non-conformités
C. Notifier à l'autorité de contrôle les résultats de l'audit interne
D. Préparer l'organisme à d'autres types d'audits

© 2021 PECB | 39
 FORMATION CERTIFIED DATA PROTECTION OFFICER

7. Laquelle des méthodes suivantes de communication des résultats des mesures

est utilisée pour surveiller les opérations en temps réel ?
A. Rapports des clients
B. Tableau de bord analytique
C. Tableau de bord de sécurité
D. Tableau de bord opérationnel

8. Que devrait surveiller en permanence le délégué à la protection des données ?

A. Changements dans les missions du RSI
B. Changements dans la politique de gestion du changement
C. Changements dans les rôles et responsabilités des employés
D. Changements dans les documents de protection des données

9. Que devrait comprendre un processus d'actions correctives ?

A. Refonte de la procédure d'actions correctives
B. Analyse détaillée de la non-conformité
C. Sélection des solutions
D. Mesures détaillées pour prévenir une violation de données

10. Parmi les éléments suivants, lequel n'est PAS une étape du plan de réponse aux
violations de données à caractère personnel ?
A. Récupération
B. Solution ou éradication
C. Leçons à retenir
D. Communication/rapport de résolution

11. Quel est l'objectif d'une action corrective ?

A. Permettre au délégué à la protection des données de mettre facilement en
œuvre le processus d'actions correctives
B. Éliminer définitivement les causes racines d'une non-conformité ou de tout
autre événement indésirable existant, ainsi que prévenir son apparition
C. Supprimer toutes les non-conformités et leur apparition

© 2021 PECB | 40
 FORMATION CERTIFIED DATA PROTECTION OFFICER

D. Permettre au responsable du traitement ou au sous-traitant de supprimer les

violations de données au sein de l'organisme

12. Parmi les éléments suivants, lequel constitue une menace et un incident fréquents
causés par des logiciels malveillants ?
A. Code malveillant dans les e-mails et les téléchargements non autorisés
B. Tentative d'obtenir des données confidentielles des utilisateurs en vue d'une
utilisation frauduleuse ultérieure par l'envoi d’e-mails prétendant être une
source fiable (p. ex., institutions financières)
C. Erreur humaine due au manque de formation et de sensibilisation
D. Accès physique non autorisé aux locaux de l'organisme dans le but de voler des
systèmes

13. Que devrait faire le délégué à la protection des données dans le cadre du plan et
des phases de préparation de la gestion des incidents ?
A. Enquêter sur l'incident
B. Déterminer s'il existe une politique établie qui précise comment les incidents
devraient être traités
C. Mettre en œuvre le plan de gestion des incidents
D. Surveiller la mise en œuvre du plan de gestion des incidents

© 2021 PECB | 41