Lexique RGPD

Accountability

Désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

 

Analyse d’impact relative à la protection des données (PIA)

L’analyse d’impact (DPIA) est un outil qui aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD. Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.

 

Anonymisation

Traitement permettant de rendre les données personnelles anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.

 

Cartographie des données

La cartographie des processus de collecte des données à caractère personnel, concernant les employés comme les clients ou les candidats à l’embauche doit être mise en place par l’entreprise. Elle doit identifier les traitements qui leur sont associés et, leurs lieux et formats de stockage et consigner le tout dans un registre dédié.

 

Chiffrement/Cryptage

Le chiffrement ou cryptage est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement.

 

CIL

Correspondant Informatique et Libertés, il applique les principes de la protection des données personnelles.

 

CNIL

Commission Nationale de l’Informatique et des Libertés. Autorité de contrôle chargée de veiller à la bonne application de la règlementation sur les données personnelles.

 

Confidentialité des données

Opération qui consiste à s’assurer que les données sont accessibles uniquement aux personnes autorisées, et qui protège les communications ou des données stockées contre l’interception et la lecture par des personnes non autorisées.

 

Déclarant

Personne physique ou morale responsable d’un traitement ou d’un fichier contenant des données personnelles.

 

Donnée personnelle

Toute information identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…).

 

Donnée sensible

Information relative à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.

 

Droit à la limitation des traitements

Droit de limiter le traitement qu’une entité peut faire des données personnelles si le traitement n’est plus justifié.

 

DPO

Data Protection Officer. Il s’agit de la personne en charge de la protection des données personnelles et du respect de la réglementation relatives à ces données au sein d’une organisation.

 

Droit à l’oubli/ Droit à l’effacement

Droit d’obtenir du responsable du traitement l’effacement de ses données à caractère personnel.

 

Droit à la portabilité

Droit de recevoir du responsable de traitement dans un format structuré, couramment utilisé et lisible par machine, ses données à caractère personnel et de les transmettre à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées en premier lieu s’y oppose.

 

Droit à la rectification

Droit d’obtenir du responsable du traitement la rectification de ses données à caractère personnel si elles sont inexactes.

 

Droit d’opposition

Droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel.

 

Fichier

Traitement de données qui s’organise dans un ensemble stable et structuré de données. Les données d’un fichier sont accessibles selon des critères déterminés.

 

Habilitation

Capacité légale à accomplir certaines opérations ou à exercer certains pouvoirs. Dans le cadre du RGPD, il s’agit de donner l’accès aux seules données nécessaires à l’accomplissement de leurs missions, après avoir identifié les responsabilités des utilisateurs.

 

Loi informatique et libertés

Loi principale française datant du 6 janvier 1978 sur la protection des données personnelles.

 

Privacy by design

Principe garantissant que chaque nouvelle technologie traitant des données personnelles ou permettant d’en traiter doit garantir dès sa conception et, lors de chaque utilisation, même si elle n’a pas été prévue à l’origine, le plus haut niveau possible de protection des données.

 

Profilage

Selon le RGPD, le profilage couvre toute forme de traitement automatisé de données à caractère personnel qui utilise ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

 

Pseudonymisation

Traitement de données personnelles de telle façon que celles-ci ne puissent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires.

 

Responsable de traitement (Data Controller)

Personne physique ou morale, autorité publique, service ou organisme qui détermine les finalités et les moyens du traitement.

 

RGPD

Règlement Général pour la Protection des Données. Les trois grands principes du RGPD sont d’uniformiser au niveau européen la réglementation sur la protection des données, de responsabiliser davantage les entreprises en développant l’auto-contrôle, de renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.).

 

Sous-sous-traitant (Sub-processor)

Personne physique ou morale, autorité publique, service ou organisme qui est le sous-traitant du sous-traitant du responsable de traitement.

 

Sous-traitant (Data Processor)

Personne physique ou morale, autorité publique, service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

 

Traitement de données à caractère personnel

Toute opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (accès, collecte, enregistrement, etc.)

 

Transfert de données

Toute communication, copie, ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne. Les transferts sont interdits en dehors du territoire de l’UE sauf exception.

 

Violation de données

Violation de la sécurité entraînant, de manière illicite ou accidentelle, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.