🚀 Mode Turbo (Une page pour aller droit au but)

Qui fait quoi

Responsable de traitement: décide des finalités et moyens.
Sous-traitant: traite pour le compte du responsable, avec obligations propres (sécurité, confidentialité, notification des violations).
DPO: conseil/contrôle. Obligatoire si autorité publique, surveillance à grande échelle ou traitement massif de données sensibles; recommandé si doute.

7 principes RGPD
Licéité/loyauté/transparence • Limitation des finalités • Minimisation • Exactitude • Limitation de conservation • Intégrité/confidentialité • Responsabilité (preuve).

Droits des personnes
Accès • Rectification • Effacement • Limitation • Portabilité* • Opposition • Décision automatisée.
⏱ Délai: 1 mois, prolongeable une fois de 1 mois si complexe, en prévenant avant l’échéance.
* Portabilité = données fournies par l’utilisateur, sur base contrat/consentement.

Pages légales indispensables
Mentions légales • Politique de confidentialité • Politique cookies • CGV/CGU si e-commerce/compte.

Cookies
Essentiels: OK sans consentement. Analytics/marketing: consentement préalable, refus aussi simple qu’acceptation. Certains analytics configurés strictement peuvent être exemptés, sinon bannière obligatoire.

Transferts hors UE
Clauses contractuelles types + due diligence sur le prestataire + info claire dans la politique.

E-commerce
Médiation de la consommation obligatoire • Droit de rétractation 14 jours • CGV complètes.

IA (usage interne/externe)
Traçabilité des prompts • Interdits: visages réels, logos/marques, voix identifiables, styles trop reconnaissables, prompts avec données perso • Mentions de transparence.

Sanctions
Jusqu’à 20 M€ ou 4% CA mondial. Process data breach en 72 h vers l’autorité; notification aux personnes si risque élevé.

Top 5 ressources
CNIL • INPI • Légifrance • Modèles CNIL (registre, DPIA) • Outil cookies (Axeptio/Cookiebot/Tarteaucitron).

🛡️ Partie 1 — RGPD opérationnel

1.1 Donnée personnelle, bases légales, finalités

Donnée personnelle: toute info identifiant directement/indirectement une personne.
Bases légales: consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public, intérêt légitime.
Rappel: intérêt légitime = test de mise en balance documenté.

1.2 Matrice “Finalité → Base légale → Durée → Données → Sous-traitants → Sécurité”

Finalité	Base légale	Durée	Données traitées	Sous-traitants	Mesures de sécurité
Facturation	Obligation légale	10 ans	Identité, coordonnées, détails facture	Comptable, hébergeur	HTTPS, restriction d’accès, sauvegardes
Newsletter	Consentement	3 ans après dernière interaction	Email, préférences	Outil emailing	Double opt-in, désinscription 1 clic
Support client	Contrat/intérêt légitime	3 ans post demande	Identité, ticket	Helpdesk SaaS	Journalisation, purge périodique
Analytics	Consentement ou exemption stricte	13 mois	IP tronquée, pages vues	Outil analytics	Anonymisation, consent mode

Ajoute tes lignes métiers et conserve la preuve.

1.3 Droits des personnes

Portabilité: uniquement données fournies par l’utilisateur, sur base contrat/consentement, en format structuré, couramment utilisé (CSV/JSON).
Délai: 1 mois, +1 mois possible si complexe, informer avant la fin du 1er mois.
Refus: motiver par écrit, tracer.

1.4 DPO

Obligatoire si: autorité publique, surveillance régulière et systématique à grande échelle, ou traitement à grande échelle de données sensibles/condamnations.
Externalisable. Même non obligatoire, utile pour structurer.

1.5 Transferts hors UE

Clauses contractuelles types + évaluation des lois du pays tiers + mesures complémentaires si besoin (chiffrement côté client, pseudonymisation).

1.6 Conservation: grille par défaut

Catégorie	Durée par défaut	Déclencheur de purge
Prospects inactifs	3 ans après dernier contact	Inactivité 36 mois
Clients	Durée contrat + 5 ans	Fin contrat + 5 ans
Facturation	10 ans	Clôture exercice + 10 ans
Candidats non retenus	2 ans	Dépôt candidature
Logs techniques	6–12 mois	Génération log
Vidéosurveillance	30 jours	Enregistrement

Documenter les adaptations.

1.7 Playbook Data Breach (8 lignes)

Détecter, contenir, isoler.
Évaluer: données, volume, impact, catégories.
Journaliser tout.
Prévenir DPO/dirigeant/IT.
Notifier l’autorité sous 72 h si risque.
Notifier personnes si risque élevé, en langage clair.
Actions correctives et preuve.
Retour d’expérience et mise à jour des mesures.

1.8 Sous-traitants: co-exposition au risque

Le sous-traitant a des obligations propres et peut être sanctionné. Le responsable reste comptable du choix et du pilotage. Contrats nécessaires.

📚 Partie 2 — Propriété intellectuelle (PI)

2.1 Principes

Protection automatique des œuvres originales.
Droits patrimoniaux 70 ans post mortem.
Droits moraux (FR): perpétuels, inaliénables (paternité, intégrité, divulgation, retrait).

2.2 Ce qui est protégé / pas protégé

Protégé: textes, musiques, images, vidéos, logiciels, bases originales.
Non protégé: idées, faits, méthodes, formules, titres génériques, recettes en tant que liste d’ingrédients.

2.3 Droit à l’image

Personnes: autorisation nécessaire, double consentement pour mineurs.
Biens: attention aux œuvres protégées et aux installations lumineuses (ex: Tour Eiffel de nuit).

2.4 Licences et domaine public

Domaine public: 70 ans post mortem. Reproductions récentes peuvent être protégées.
Creative Commons: BY, BY-SA, BY-ND, BY-NC, BY-NC-SA, BY-NC-ND, et CC0.

2.5 Marques & brevets

Marque: dépôt à l’INPI, 10 ans renouvelables. Par classes.
Brevets: inventions techniques nouvelles, 20 ans max. Logiciels “en tant que tels” non brevetables en Europe.

🎨 Partie 3 — Utiliser des contenus: OK / NON / À vérifier

Type	OK	NON	À vérifier
Images stock libre	Licence Unsplash/Pexels/Pixabay respectée	“Trouvé sur Google/Pinterest”	Crédits exigés par licence
Photos de personnes	Autorisation écrite	Publication sans consentement	Personne accessoire en foule
Musique	Libre de droits avec licence	“30 sec c’est gratuit”	Conditions “royalty-free” précises
Vidéo	Pexels/Pixabay/CC	Re-upload YouTube	Citation courte avec analyse
Textes	Courte citation sourcée	Copier un article	Droit de courte citation selon finalité
Polices	Google Fonts/licence adaptée	Police “free personal use” en usage pro	Étendue licence web/app

🤖 Partie 4 — IA: règles claires

4.1 Interdits

Visages/personnes réelles identifiables sans consentement.
Logos/marques, personnages protégés.
Clonage vocal sans autorisation.
“À la manière de X” quand la proximité est évidente.
Prompts contenant données personnelles/confidentielles.

4.2 Bonnes pratiques

Conserver prompts, versions, retouches (traçabilité).
Mentionner l’usage de l’IA lorsque pertinent/obligatoire.
Vérifier les CGU des outils et l’aptitude à l’usage commercial.
Éditer/retoucher pour ajouter une contribution créative humaine.

4.3 Textes & code IA

Les outputs 100% IA peuvent ne pas être protégeables. Ta contribution éditoriale peut l’être.
Code: vérifier licences implicites des suggestions, éviter contamination GPL non désirée, revue manuelle sur parties sensibles.

📋 Partie 5 — Mentions légales, confidentialité, cookies, CGV/CGU

5.1 Mentions légales (site pro)

Éditeur (dénomination, forme, capital, siège, SIRET/RCS, TVA).
Directeur de publication.
Hébergeur (nom, adresse, téléphone).
Contact (email, tél recommandé).

Site perso/blog: version allégée mais hébergeur et contact obligatoires.
E-commerce: + CGV, prix TTC, livraison, rétractation 14 j, retour, SAV, médiation de la consommation.

5.2 Politique de confidentialité (contenus minimaux)

Responsable • DPO/contact • Données collectées • Finalités • Base légale • Destinataires • Durées • Droits • Transferts hors UE • Cookies/traceurs • Réclamation CNIL.

5.3 Cookies 2025

Essentiels: pas de consentement.
Analytics/marketing: consentement préalable, refus aussi simple que l’acceptation, pas de pré-coché.
Analytics exemptés: possible sous conditions strictes (mesure d’audience limitée, IP tronquée, pas de recoupement, finalité strictement statistique). En cas de doute, demander le consentement.

5.4 CGU (si comptes/utilisateurs)

Objet • Accès • Règles utilisateurs • Propriété intellectuelle • Responsabilité/signalement • Résiliation • Droit applicable/juridiction • Mentions IA si usage.

5.5 Snippets prêts à coller

Formulaire RGPD

Les informations recueillies via ce formulaire sont traitées par [Nom] pour [finalité]. Base légale: [consentement/contrat/intérêt légitime]. Conservées [durée]. Destinataires: [service] et sous-traitants habilités. Droits (accès, rectification, opposition, limitation, portabilité, effacement) à exercer à [email]. Réclamation: CNIL.

DPA minimal (sous-traitant)

Le prestataire agit sur instructions documentées, applique des mesures de sécurité appropriées, garantit la confidentialité, notifie sans retard injustifié toute violation, assiste le responsable pour les demandes RGPD, et supprime/restitue les données en fin de contrat.

Autorisation droit à l’image (adulte)

J’autorise [Nom] à fixer et diffuser mon image dans le cadre de [projet], sur [supports], territoire [monde/FR], pendant [durée], à des fins [éditoriales/commerciales]. Je peux retirer mon consentement pour l’avenir en écrivant à [email].

Bandeau cookies court

Nous utilisons des cookies pour mesurer l’audience et personnaliser votre expérience. Vous pouvez accepter, refuser ou paramétrer vos choix. Le refus n’affecte pas les fonctions essentielles.
Boutons: Tout accepter | Tout refuser | Paramétrer

Mention IA (site/app)

Ce service utilise des technologies d’IA pour [usage]. Certaines décisions peuvent être automatisées; vous pouvez demander une intervention humaine à [email]. Les données transmises sont [anonymisées/limitées] et traitées conformément à notre politique de confidentialité.

🛠️ Partie 6 — Outils et ressources

CNIL: guides, modèles de registre, DPIA, MOOC.
INPI: marques, brevets, dessins & modèles.
Légifrance: textes officiels.
Gestion consentement: Axeptio, Cookiebot, Tarteaucitron.js.
Registre/DPIA SaaS: Dastra, OneTrust.
Licences: TLDRLegal, FOSSA.
Reverse image/text: TinEye, recherche d’images inversée, Copyscape.
Banques libres: Unsplash, Pexels, Pixabay, Wikimedia (vérifier licence), YouTube Audio Library, Free Music Archive, Incompetech, Bensound; Google Fonts, Font Squirrel.

🧪 Partie 7 — Cas pratiques compressés

Blog personnel cuisine végé

ML, politique de conf, cookies analytics, formulaires commentaires/newsletter, autorisations images personnes, licences photos.

Boutique en ligne savons

CGV complètes + médiation • Rétractation 14 j • Politique conf/cookies • Registre traitements • SSL obligatoire • Preuves de licences visuelles.

Chaîne YouTube tutos

Musiques libres/licenciées • Déclaration contenu IA réaliste si applicable • Mentions sponsor/affiliation • Droit à l’image/lieux privés • Section “À propos” avec contact.

App mobile sport

CGU in-app • Politique conf détaillée • Consentement explicite données santé/géoloc • Sécurité renforcée • Stores: étiquettes confidentialité.

Chatbot IA SAV

Transparence “vous échangez avec un assistant automatisé” • Politique conf MAJ • Base légale claire • Possibilité de bascule humaine • Interdiction d’entraîner sur conversations sans consentement explicite.

✅ Partie 8 — Checklists finales

RGPD

Propriété intellectuelle

Mentions légales & IA

🎯 Partie 9 — Plans d’action

Cette semaine

Audit express traitements + contenus • MAJ ML/Politique conf/Bandeau cookies • Remplacement médias non conformes • Snippets en place (formulaire, DPA, image).

Ce mois

Auditer prestataires • Clauses contractuelles • Registre traitements • Évaluer besoin DPO • Procédure d’exercice des droits testée.

Cette année

Audit externe si sensible • Dépôt marque • Audits trimestriels • Veille AI Act/RGPD cookies.

Éviter absolument
Procrastiner • Copier des CGV au hasard • “On est petits, personne ne nous verra.”

📎 Annexes — Modèles à copier-coller

A. Clauses rapides

Formulaire RGPD: voir 5.5
DPA minimal: voir 5.5
Autorisation image (mineur)

Je soussigné(e) [Nom parent], représentant légal de [Prénom Nom], autorise [Nom] à fixer et diffuser l’image de mon enfant dans le cadre de [projet], sur [supports], territoire [ ], pendant [durée], à des fins [ ]. Retrait possible pour l’avenir à [email].

Cession de droits auteur freelance

L’Auteur cède à [Client], à titre [exclusif/non exclusif], pour le monde entier et pour [durée], les droits de reproduction, représentation, adaptation et traduction sur l’œuvre [description], pour les supports [liste]. Les droits moraux demeurent à l’Auteur. Rémunération: [montant/modalités].

Bandeau cookies: voir 5.5
Mention IA: voir 5.5

B. Matrices vierges

Matrice traitements

Finalité	Base	Données	Durée	Destinataires	Sous-traitants	Sécurité	Transferts

Journal exercice des droits

Date demande	Identité vérifiée	Droit exercé	Réponse envoyée	Délai	Prolongation notifiée	Décision	Preuves

Journal data breach

Date/heure	Incident	Données impactées	Volume	Mesures prises	Autorité notifiée	Personnes notifiées	Clôture

🎬 Conclusion

Le RGPD n’est pas un obstacle, c’est une méthode: documente, mesure, purge, prouve.
La PI n’est pas décorative: elle protège ta création et t’oblige à respecter celle des autres.
L’IA n’est pas une excuse: transparence, traçabilité, limites claires.

Fais simple, fais propre, laisse des traces. Et dors mieux.