Vous pensez maitriser le RGPD ? Testez vos connaissances avec ce quiz de 20 questions couvrant les principes fondamentaux, les obligations pratiques et les cas concrets de la protection des donnees personnelles en 2025. Que vous soyez DPO, responsable de traitement ou collaborateur, ce quiz vous permettra d’evaluer votre niveau et d’identifier les points a approfondir.
Quiz RGPD : 20 questions pour evaluer votre niveau
Question 1 : Que signifie RGPD ?
Reponse : Reglement General sur la Protection des Donnees. Il s’agit du reglement europeen 2016/679 entre en application le 25 mai 2018, qui encadre le traitement des donnees personnelles dans l’Union europeenne.
Question 2 : Qu’est-ce qu’une donnee personnelle ?
Reponse : Toute information se rapportant a une personne physique identifiee ou identifiable. Cela inclut le nom, l’email, l’adresse IP, un numero de telephone, une photo, mais aussi des donnees indirectement identifiantes comme un numero de client ou une plaque d’immatriculation.
Question 3 : Quelles sont les 6 bases legales du RGPD ?
Reponse : Le consentement, l’execution d’un contrat, l’obligation legale, la sauvegarde des interets vitaux, l’execution d’une mission d’interet public, et l’interet legitime du responsable de traitement.
Question 4 : En combien de temps faut-il notifier une violation de donnees a la CNIL ?
Reponse : 72 heures apres en avoir pris connaissance. Ce delai court a partir du moment ou le responsable de traitement a acquis une certitude raisonnable qu’un incident de securite a eu lieu et a affecte des donnees personnelles.
Question 5 : Qu’est-ce qu’un DPO ?
Reponse : Le Delegue a la Protection des Donnees (DPO ou Data Protection Officer) est la personne chargee de veiller a la conformite des traitements de donnees au sein d’un organisme. Sa designation est obligatoire pour les organismes publics, les entreprises traitant des donnees a grande echelle, et celles traitant des donnees sensibles.
Question 6 : Quelle est la sanction maximale prevue par le RGPD ?
Reponse : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus eleve etant retenu. En 2025, les amendes prononcees par les autorites europeennes depassent regulierement le million d’euros.
Question 7 : Qu’est-ce que le droit a l’effacement ?
Reponse : Aussi appele « droit a l’oubli », il permet a toute personne de demander la suppression de ses donnees personnelles. Ce droit n’est pas absolu : il peut etre refuse si les donnees sont necessaires a l’execution d’un contrat, au respect d’une obligation legale, ou pour des motifs d’interet public.
Question 8 : Qu’est-ce qu’une AIPD ?
Reponse : L’Analyse d’Impact relative a la Protection des Donnees (ou PIA, Privacy Impact Assessment) est une etude obligatoire avant la mise en oeuvre de traitements susceptibles d’engendrer un risque eleve pour les droits et libertes des personnes. Elle permet d’evaluer les risques et de definir les mesures pour les reduire.
Question 9 : Le RGPD s’applique-t-il aux entreprises hors UE ?
Reponse : Oui, le RGPD a une portee extraterritoriale. Il s’applique a tout organisme qui traite des donnees de personnes situees dans l’Union europeenne, meme si cet organisme est etabli hors de l’UE, des lors qu’il propose des biens ou services a ces personnes ou qu’il surveille leur comportement.
Question 10 : Qu’est-ce que le registre des traitements ?
Reponse : Le registre des activites de traitement est un document obligatoire (article 30 du RGPD) qui repertorie l’ensemble des traitements de donnees personnelles effectues par un organisme. Il doit contenir la finalite, les categories de donnees, les destinataires, les durees de conservation et les mesures de securite pour chaque traitement.
Question 11 : Qu’est-ce que le principe de minimisation ?
Reponse : Le principe de minimisation impose de ne collecter que les donnees strictement necessaires a la finalite du traitement. Par exemple, demander la date de naissance pour une inscription a une newsletter n’est pas conforme car cette donnee n’est pas necessaire.
Question 12 : Un sous-traitant est-il concerne par le RGPD ?
Reponse : Oui, le sous-traitant (hebergeur, prestataire informatique, editeur SaaS) a des obligations propres au titre du RGPD. Il doit notamment tenir un registre des traitements, mettre en oeuvre des mesures de securite adaptees, et alerter le responsable de traitement en cas de violation de donnees.
Question 13 : Peut-on envoyer des emails marketing sans consentement ?
Reponse : En B2C, le consentement prealable (opt-in) est obligatoire. En B2B, la prospection est possible sans consentement si le message concerne l’activite professionnelle du destinataire et qu’un droit d’opposition simple est propose. Dans tous les cas, un lien de desinscription doit figurer dans chaque communication.
Question 14 : Combien de temps peut-on conserver les donnees ?
Reponse : Le RGPD impose de ne conserver les donnees que pendant la duree necessaire a la finalite du traitement. Il n’y a pas de duree unique : elle depend du contexte (3 ans apres le dernier contact pour les prospects, 5 ans pour les bulletins de paie, 10 ans pour les pieces comptables, etc.).
Question 15 : Qu’est-ce qu’une donnee sensible au sens du RGPD ?
Reponse : Les donnees sensibles sont des categories particulieres de donnees dont le traitement est en principe interdit : origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, donnees genetiques, biometriques, de sante, et relatives a la vie ou orientation sexuelle.
Question 16 : Le consentement doit-il etre ecrit ?
Reponse : Non, le RGPD n’exige pas un consentement ecrit. Il doit en revanche etre libre, specifique, eclaire et univoque. Le responsable de traitement doit pouvoir demontrer que le consentement a ete obtenu (preuve). Une case precochee ne constitue pas un consentement valide.
Question 17 : Un particulier peut-il demander quelles donnees sont detenues sur lui ?
Reponse : Oui, c’est le droit d’acces prevu a l’article 15 du RGPD. Toute personne peut demander a un organisme si des donnees la concernant sont traitees et en obtenir une copie. L’organisme dispose d’un mois pour repondre.
Question 18 : Faut-il un DPO pour une PME de 20 salaries ?
Reponse : La designation d’un DPO n’est pas liee a la taille de l’entreprise mais a la nature des traitements. Elle est obligatoire si l’activite principale implique un suivi regulier et systematique des personnes a grande echelle ou le traitement de donnees sensibles a grande echelle. Meme non obligatoire, la CNIL recommande vivement la designation d’un DPO.
Question 19 : Les cookies necessitent-ils un consentement ?
Reponse : Les cookies strictement necessaires au fonctionnement du site sont exemptes de consentement. Tous les autres cookies (analytiques, publicitaires, reseaux sociaux) necessitent un consentement prealable, libre et eclaire. Le simple fait de continuer a naviguer ne vaut pas consentement.
Question 20 : Qu’est-ce que le Privacy by Design ?
Reponse : Le Privacy by Design (protection des donnees des la conception) est un principe impose par l’article 25 du RGPD. Il exige que la protection des donnees soit integree des la phase de conception de tout nouveau produit, service ou traitement, et non ajoutee apres coup.
Evaluez votre score
- 18-20 bonnes reponses : Excellent ! Vous maitrisez les fondamentaux du RGPD.
- 14-17 bonnes reponses : Bon niveau. Quelques points a approfondir.
- 10-13 bonnes reponses : Des bases solides mais des lacunes a combler.
- Moins de 10 : Une formation complete est recommandee.
