Accueil » Blog » RGPD : le glossaire pour tout comprendre

A

Accountability

Désigne l’obligation imposée par le GDPR/RGPD aux entreprises, de mettre en œuvre des mécanismes, des documents et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Analyse d’impact relative à la protection des données (PIA)

elle vise à évaluer tous les processus et toutes les bases de données d’un département donné (finalités, durée de conservation des données, droits des personnes’) et à analyser les risques sur la sécurité des données (accès aux données, fraudes…) et leurs impacts potentiels sur la vie privée, afin de déterminer les mesures techniques et d’organisation pour protéger les données.

Anonymisation

Traitement permettant de rendre les données personnelles anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

B

Base légale d’un traitement

Justification d’un traitement. Cette justification peut être :

  • Le consentement,
  • L’exécution du contrat,
  • Une obligation légale,
  • La sauvegarde des intérêts vitaux de la personne concernée,
  • Nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique,
  • Nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement

C

Cartographie des données

Dans un premier temps, l’entreprise doit cartographier les processus de collecte des données à caractère personnel, concernant les employés comme les clients ou les candidats à l’embauche. Elle doit ensuite identifier les traitements qui leur sont associés et , leurs lieux et formats de stockage et consigner le tout dans un registre dédié.

Chiffrement

Opération qui consiste à transformer un message à transmettre, dit « message clair », en un autre message, inintelligible pour un tiers, dit « message chiffré », en vue d’assurer le secret de sa transmission.

CNIL (Commission Nationale de l’Informatique et des Libertés)

Autorité de contrôle chargée de veiller à la bonne application de la règlementation sur les données personnelles.

Confidentialité des données

selon l’Organisation mondiale de normalisation (ISO), la confidentialité des données consiste à s’assurer que les données ne sont accessibles qu’aux personnes autorisées, et donc à protéger les communications ou des données stockées contre l’interception et la lecture par des personnes non autorisées.

Consentement explicite

tout individu doit donner son consentement explicite, c’est à dire via une déclaration claire écrite ou orale qui ne permet aucune mauvaise interprétation. Cette déclaration doit préciser la nature des données collectées, le type de traitement et ses impacts potentiels, le caractère obligatoire ou facultatif des réponses, ainsi que le détail des données à transférer et les risques liés à ce transfert.

D

Déclaration CNIL

Procédure administrative effectuée auprès de la CNIL et autorisant les traitements de données personnelles au sein d’un organisme. Cette procédure est supprimée avec l’application du GDPR/RGPD et est remplacée par un processus dit de « registre ».

Données à caractère personnel / Données personnelles

Toute information identifiant directement ou indirectement une personne physique (ex : nom, prénom, n° d’immatriculation, n° de téléphone, date de naissance, commune de résidence, empreinte digitale…). Une donnée qui ne permet pas d’identifier directement une personne peut devenir une donnée personnelle si elle est croisée avec une autre donnée. Ce croisement permettant d’identifier une personne, (ex: une description physique croisée avec un poste dans une entreprise) peut permettre d’identifier une personne précise.

Données sensibles

Information relative à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.A ne pas confondre avec la notion de sensibilité au sens commun du terme qui permet de mesurer la sensibilité d’une donnée : Ex : salaire d’un collaborateur « lambda » d’une société vs salaire du directeur général de cette même société, ces deux données n’ont pas le même niveau de sensibilité au sens commun du terme, mais ne sont pas des données sensibles au sens juridique du terme.

Délégué à la Protection des Données (DPD) ou DPO (Data Protection Officer)

Le DPO est le garant du respect de la réglementation au sein de l’entreprise. Parmi ses missions, il doit informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés ; contrôler le respect du règlement, d’autres dispositions en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant ; dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ; coopérer avec l’autorité de contrôle (CNIL) sur les questions relatives au traitement.

Droit d’accès

Droit des personnes d’obtenir du responsable du traitement :

  • La confirmation que les données à caractère personnel sont ou ne sont pas traitées
  • Lorsqu’elles sont traitées, l’accès auxdites données à caractère personnel
  • L’accès aux informations sur les traitements effectués sur ses données personnelles.

Droit à la limitation des traitements

Droit de limiter le traitement qu’une entité peut faire des données personnelles si le traitement n’est plus justifié.

Droit à l’oubli/ Droit à l’effacement

Droit d’obtenir du responsable du traitement l’effacement de ses données à caractère personnel.

Droit d’opposition

Droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel.

Droit à la portabilité

Droit de recevoir du responsable de traitement dans un format structuré, couramment utilisé et lisible par machine, ses données à caractère personnel et de les transmettre à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées en premier lieu y fasse obstacle.

Droit à la rectification

Droit d’obtenir du responsable du traitement la rectification de ses données à caractère personnel si inexactes.

H

Habilitation

capacité légale à accomplir certaines opérations ou à exercer certains pouvoirs. Dans le cadre du RGPD, il s’agit de donner l’accès aux seules données nécessaires à l’accomplissement de leurs missions, après avoir identifié les responsabilités des utilisateurs. Une revue annuelle des habilitations doit être effectuée afin d’identifier et de supprimer les comptes non utilisés et de réaccorder les droits selon les fonctions de chaque utilisateur.

F

Finalité

Objectif principal d’une application informatique de données personnelles. Ex : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.

Fichier

Traitement de données qui s’organise dans un ensemble stable et structuré de données. Les données d’un fichier sont accessibles selon des critères déterminés.

GDPR (General Data Protection Régulation) / RGPD (Règlement Général sur la Protection des données)

Nouveau texte européen sur la protection des données personnelles applicable à compter du 25 mai 2018 et remplaçant et uniformisant l’ensemble des règles applicables dans les états membres de l’Union Européenne sur la protection des données personnelles.

G

G29

Groupe de travail européen indépendant sur la protection des données et de la vie privée rassemblant les représentants de chaque autorité indépendante (équivalent des CNIL locales) de protection des données nationales. Il a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, avis…

L

Loi informatique et libertés

Loi principale française datant du 6 janvier 1978 sur la protection des données personnelles.

P

Pays reconnu comme disposant d’un niveau de sécurité adéquat par la Commission Européenne

Pays vers lesquels les transferts de données personnelles sont autorisés : la Suisse, le Canada, Andorre, l’Argentine, les Etats-Unis (pour les sociétés certifiées par le bouclier EU-US relatif à la protection des données ou « Privacy Shield’), Guernesey, l’île de Man, les îles Féroé, Jersey, Israël, la Nouvelle-Zélande et l’Uruguay

Principe de licéité

les données personnelles ne peuvent être collectées et exploitées que pour un usage donné et légitime, correspondant aux missions du responsable de traitement.

Principe de minimisation

la collecte et le traitement des données sont limités à la seule finalité du traitement. Il contraint donc les entreprises à retirer toutes les données qui ne sont pas nécessaires à la finalité du traitement et à redéfinir les données indispensables au traitement de chaque applicatif.

Privacy by design

l’entreprise doit s’assurer de la protection des données dès la conception des produits et services, et tout au long de leur cycle de vie.

Privacy Shield

Auto-certification UE-US sur la protection des données personnelles permettant le transfert de données personnelles issues des personnes localisées sur le territoire de l’UE vers les entreprises certifiées « Privacy Shield ».

Profilage

selon le RGPD, le profilage couvre toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

Pseudonymisation

Traitement de données personnelles de telle façon que celles-ci ne puissent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires.

R

Registre interne des traitements de données à caractère personnel

le RGPD contraint toute entreprise à tenir consigner dans un registre l’ensemble des traitements de données à caractère personnel qu’elle met en oeuvre. Les informations suivantes doivent être consignées : le nom et les coordonnées des responsables de traitements, co-responsables de traitements, sous-traitants et destinataires intervenant dans le traitement ; les finalités du traitement ; les catégories de personnes concernées et les catégories de données à caractère personnel ; les transferts de données à caractère personnel hors UE ; une description générale des mesures de sécurité techniques et organisationnelles ; dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données.

Responsable de traitement (Data Controller)

La personne physique ou morale, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

S

Sous-traitant (Data Processor)

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Sous-sous-traitant (Sub-processor)

La personne physique ou morale, l’autorité publique, le service ou l’organisme qui est le sous-traitant du sous-traitant du responsable de traitement.

T

Traitement de données à caractère personnel

Toute opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (Ex : accès, collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ?).

Transfert de données

Toute communication, copie, ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne. Un simple accès à des données stockées en France à partir d’un terminal situé en Chine est donc un transfert. Les transferts sont interdits en dehors du territoire de l’UE sauf exception.

V

Violation de données

Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.