Q1. Que signifie l’acronyme RGPD ?
A) Règlement Général sur les Processus de Données B) Règlement Général sur la Protection des Données ✓ C) Registre Général des Projets Digitaux D) Règlement Général sur la Propriété des Données
💡 En anglais, le RGPD s’appelle GDPR (General Data Protection Regulation). Il est entré en application le 25 mai 2018 dans tous les pays de l’UE.

Q2. Quelle est la durée maximale de conservation des données sans justification ?
A) 1 an B) 3 ans C) Elle dépend de la finalité ✓ D) 5 ans
💡 Le RGPD ne fixe pas de durée universelle. Les données doivent être conservées « pendant la durée nécessaire à la finalité du traitement ». Après, elles doivent être supprimées ou anonymisées.

Q3. Dans quel délai une violation de données doit-elle être notifiée à la CNIL ?
A) 24 heures B) 48 heures C) 72 heures ✓ D) 7 jours
💡 L’article 33 du RGPD impose une notification à l’autorité compétente (CNIL en France) dans les 72 heures suivant la découverte d’une violation susceptible de risque.

Q4. Quelle est l’amende maximale pour une violation grave du RGPD ?
A) 1 million € B) 10 millions € ou 2% du CA C) 20 millions € ou 4% du CA ✓ D) 50 millions €
💡 Les sanctions les plus graves peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Amazon a reçu 746M€ d’amende au Luxembourg en 2021.

Q5. Le consentement RGPD doit être :
A) Implicite et permanent B) Libre, spécifique, éclairé et univoque ✓ C) Obtenu une seule fois pour tous les usages D) Valable 2 ans sans renouvellement
💡 Les cases pré-cochées et le consentement global (« J’accepte tout ») ne sont pas valides sous RGPD. Chaque finalité de traitement nécessite un consentement distinct.

Q6. Qu’est-ce qu’un DPO (Data Protection Officer) ?
A) Un logiciel de protection B) Un délégué à la protection des données ✓ C) Un directeur marketing digital D) Un officier de police numérique
💡 Le DPO est obligatoire pour les organismes publics et les entreprises traitant des données sensibles à grande échelle. Il peut être interne ou externe à l’organisation.

Q7. Quelle est la définition d’une « donnée personnelle » selon le RGPD ?
A) Uniquement nom et prénom B) Toute information permettant d’identifier directement ou indirectement une personne ✓ C) Les données bancaires uniquement D) Les données médicales et biométriques
💡 Une adresse IP, un cookie, une photo ou une combinaison de données peuvent constituer une donnée personnelle si elles permettent l’identification d’un individu.

Q8. Le droit à l’oubli permet à un individu de :
A) Effacer toutes ses traces sur internet B) Demander la suppression de ses données dans certaines conditions ✓ C) Bloquer tout traitement de ses données D) Récupérer ses données sous format PDF
💡 Le droit à l’effacement n’est pas absolu. Il peut être refusé pour la liberté d’expression, des obligations légales ou des intérêts publics légitimes.

Q9. Quelle est l’autorité de contrôle du RGPD en France ?
A) ANSSI B) CNIL ✓ C) AMF D) ARCEP
💡 La CNIL (Commission Nationale de l’Informatique et des Libertés) existe depuis 1978, bien avant le RGPD. Elle dispose de pouvoirs de contrôle, de sanction et de conseil.

Q10. La pseudonymisation consiste à :
A) Supprimer toutes les données personnelles B) Remplacer les identifiants par des pseudonymes pour réduire les risques ✓ C) Chiffrer les données avec un mot de passe D) Transférer les données vers un pays tiers
💡 La pseudonymisation réduit les risques mais ne supprime pas le caractère personnel des données. À distinguer de l’anonymisation, qui est irréversible.