Accountability : Désigne l’obligation imposée par le GDPR/RGPD aux entreprises, de mettre en œuvre des mécanismes, des documents et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Anonymisation : Traitement permettant de rendre les données personnelles anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.
Base légale d’un traitement : Justification d’un traitement. Cette justification peut être :
- Le consentement,
- L’exécution du contrat,
- Une obligation légale,
- La sauvegarde des intérêts vitaux de la personne concernée,
- Nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique,
- Nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement
Chiffrement : Opération qui consiste à transformer un message à transmettre, dit « message clair », en un autre message, inintelligible pour un tiers, dit « message chiffré », en vue d’assurer le secret de sa transmission.
CNIL (Commission Nationale de l’Informatique et des Libertés) : Autorité de contrôle chargée de veiller à la bonne application de la règlementation sur les données personnelles.
Data Protection Officer (DPO) : Personne en charge de la problématique des données personnelles au sein d’une organisation.
Déclaration CNIL : Procédure administrative effectuée auprès de la CNIL et autorisant les traitements de données personnelles au sein d’un organisme. Cette procédure est supprimée avec l’application du GDPR/RGPD et est remplacée par un processus dit de « registre ».
Données à caractère personnel / Données personnelles : Toute information identifiant directement ou indirectement une personne physique (ex : nom, prénom, n° d’immatriculation, n° de téléphone, date de naissance, commune de résidence, empreinte digitale…). Une donnée qui ne permet pas d’identifier directement une personne peut devenir une donnée personnelle si elle est croisée avec une autre donnée. Ce croisement permettant d’identifier une personne, (ex: une description physique croisée avec un poste dans une entreprise) peut permettre d’identifier une personne précise.
Données sensibles : Information relative à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.
A ne pas confondre avec la notion de sensibilité au sens commun du terme qui permet de mesurer la sensibilité d’une donnée : Ex : salaire d’un collaborateur « lambda » d’une société vs salaire du directeur général de cette même société, ces deux données n’ont pas le même niveau de sensibilité au sens commun du terme, mais ne sont pas des données sensibles au sens juridique du terme.
Droit d’accès : Droit des personnes d’obtenir du responsable du traitement :
- La confirmation que les données à caractère personnel sont ou ne sont pas traitées
- Lorsqu’elles sont traitées, l’accès auxdites données à caractère personnel
- L’accès aux informations sur les traitements effectués sur ses données personnelles.
Droit à la limitation des traitements : Droit de limiter le traitement qu’une entité peut faire des données personnelles si le traitement n’est plus justifié.
Droit à l’oubli/ Droit à l’effacement : Droit d’obtenir du responsable du traitement l’effacement de ses données à caractère personnel.
Droit d’opposition : Droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel.
Droit à la portabilité : Droit de recevoir du responsable de traitement dans un format structuré, couramment utilisé et lisible par machine, ses données à caractère personnel et de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées en premier lieu y fasse obstacle.
Droit à la rectification : Droit d’obtenir du responsable du traitement la rectification de ses données à caractère personnel si inexactes.
Finalité : Objectif principal d’une application informatique de données personnelles. Ex : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.
Fichier : Traitement de données qui s’organise dans un ensemble stable et structuré de données. Les données d’un fichier sont accessibles selon des critères déterminés.
GDPR (General Data Protection Régulation) / RGPD (Règlement Général sur la Protection des données): Nouveau texte européen sur la protection des données personnelles applicable à compter du 25 mai 2018 et remplaçant et uniformisant l’ensemble des règles applicables dans les états membres de l’Union Européenne sur la protection des données personnelles.
G29 : Groupe de travail européen indépendant sur la protection des données et de la vie privée rassemblant les représentants de chaque autorité indépendante (équivalent des CNIL locales) de protection des données nationales. Il a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, avis…
Loi informatique et libertés : Loi principale française datant du 6 janvier 1978 sur la protection des données personnelles
Pays reconnu comme disposant d’un niveau de sécurité adéquat par la Commission Européenne : Pays vers lesquels les transferts de données personnelles sont autorisés : la Suisse, le Canada, Andorre, l’Argentine, les Etats-Unis (pour les sociétés certifiées par le bouclier EU-US relatif à la protection des données ou « Privacy Shield’), Guernesey, l’île de Man, les îles Féroé, Jersey, Israël, la Nouvelle-Zélande et l’Uruguay
PIA / Privacy Impact Assessment / Analyse de risque : Analyse de risque à effectuer au moment de la conception d’un nouveau projet ou d’une modification importante d’un projet existant.
Privacy Shield : Auto-certification UE-US sur la protection des données personnelles permettant le transfert de données personnelles issues des personnes localisées sur le territoire de l’UE vers les entreprises certifiées « Privacy Shield ».
Pseudonymisation : Traitement de données personnelles de telle façon que celles-ci ne puissent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires.
Registre : Fichier papier ou immatériel regroupant la description de l’ensemble des traitements effectués au sein d’une organisation pour son propre compte (lorsque l’organisation est responsable de traitement) ou le compte d’un client (lorsque l’organisation est sous-traitant). Le registre remplace les déclarations CNIL.
Responsable de traitement (Data Controller) : La personne physique ou morale, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.
Sous-traitant (Data Processor) : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Sous-sous-traitant (Sub-processor) : La personne physique ou morale, l’autorité publique, le service ou l’organisme qui est le sous-traitant du sous-traitant du responsable de traitement.
Traitement de données à caractère personnel : Toute opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (Ex : accès, collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …).
Transfert de données : Toute communication, copie, ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne. Un simple accès à des données stockées en France à partir d’un terminal situé en Chine est donc un transfert. Les transferts sont interdits en dehors du territoire de l’UE sauf exception.
Violation de données : Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.