Scroll to top

Glossaire RGPD

A

Accountability A

Obligation d’être en capacité de pouvoir démontrer à tout moment que l’on respecte la réglementation en matière de données personnelles. Pour répondre à cette obligation, l’organisme doit mettre en œuvre des mécanismes et des procédures internes.

Analyse d’impact relative à la protection des données (PIA)

Elle vise à évaluer tous les processus et toutes les bases de données d’un département donné (finalités, durée de conservation des données, droits des personnes…) et à analyser les risques sur la sécurité des données (accès aux données, fraudes…) et leurs impacts potentiels sur la vie privée, afin de déterminer les mesures techniques et d’organisation pour protéger les données

Anonymisation

Processus qui permet de faire en sorte qu’une donnée ne permette plus d’individualiser la personne à laquelle elle se rattache, que des données distinctes portant sur un même individu ne soit pas reliables, et qu’on ne puisse pas déduire une information sur un individu.

C

Cartographie des activités de traitements

Tableau détaillé des traitements sur les systèmes de récolte des données, flux, prestataires, modalités de conservation/archivage, analyse de risque, contrats conclus.

Cartographie des données

Dans un premier temps, l’entreprise doit cartographier les processus de collecte des données à caractère personnel, concernant les employés comme les clients ou les candidats à l’embauche. Elle doit ensuite identifier les traitements qui leur sont associés et, leurs lieux et formats de stockage et consigner le tout dans un registre dédié.

Cartographie des risques

La cartographie des risques est un dispositif de mise en conformité avec la règlementation. C’est avoir conscience de ses vulnérabilités et donc se doter de moyens pour diminuer son niveau d’exposition au risque. Piloter les risques et contraintes de son entreprise est vital dans l’univers économique actuel

Clauses contractuelles types

Il s’agit de modèles de clauses contractuelles adoptés par la Commission européenne permettant d’encadrer les transferts de données personnelles effectués par des responsables de traitement

CNIL

Commission Nationale de l’Informatique et des Libertés, Il est le régulateur des données personnelles Les contrôles sur place, sur pièces, sur audition ou en ligne permet à la CNIL de vérifier la mise en œuvre concrète de la loi.  A l’issue des contrôles, la Présidente de la CNIL peut décider des sanctions.

Confidentialité des données

Selon l’Organisation mondiale de normalisation (ISO), la confidentialité des données consiste à s’assurer que les données ne sont accessibles qu’aux personnes autorisées, et donc à protéger les communications ou des données stockées contre l’interception et la lecture par des personnes non autorisées.

Consentement explicite

Manifestation de la volonté d’une personne. Dans le cadre du RGPD, les critères du consentement sont renforcés. Il devient un consentement explicite dans plusieurs cas.

D

Data Protection Officier 

Fonction au sein d’une organisation ou externalisée qui a la charge de veiller à la conformité réglementaire en matière de données de l’organisation. Le DPO a les mêmes fonctions que le Correspondant Informatique et Libertés (CIL), mais ses compétences juridiques sont plus poussées. Le DPO est soumis au secret professionnel et à une obligation de confidentialité en ce qui concerne l’exercice de ses missions. La désignation d’un délégué est obligatoire

Donnée personnelle 

Information qui permet d’identifier directement ou indirectement une personne physique. Ce peut être son nom, le numéro d’immatriculation de sa voiture, son numéro de téléphone, son adresse IP, etc.

Donnée sensible

Information qui concerne l’origine raciale ou ethnique, les opinions politiques, les opinions philosophiques ou les opinions religieuses. Elle peut aussi concerner l’appartenance syndicale, la santé ou la vie sexuelle. Elles bénéficient d’un régime juridique plus contraignant.

Droit à l’information

Obligation de transmettre certaines informations aux personnes dont les données sont collectées et traitées. Ces informations portent notamment sur l’existence de la collecte et du traitement, leur objectif, leur caractère obligatoire ou facultatif, les autres droits reconnues, etc.

Droit à la portabilité des données

C’est la possibilité de gérer ses propres données. La personne dont les données sont détenues par une entreprise peut demander à les transférer d’un environnement informatique à un autre d’une manière sure et sécurisée. Ces données doivent être transférées sous une forme structurée, lisible et couramment utilisée. Ce transfert doit être réalisé gratuitement et dans un délai d’un mois.

Droit à l’oubli

Le droit à l’effacement impose à l’entreprise l’obligation d’effacer les données à caractère personnel sous plusieurs motifs, et cela dans les délais les plus brefs. Le citoyen européen peut également s’opposer au profilage via des traitements automatisés.

Droit d’accès 

L’organisme qui détient des données sur une personne a l’obligation de faire en sorte que celle-ci connaisse l’intégralité des données qui la concernent. La personne peut obtenir une copie de ces informations pour un coût qui ne peut dépasser celui de la reproduction du fichier dans lequel sont répertoriées ces informations.

Droit de rectification 

Toute personne a le droit de faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant. Ces informations doivent être erronées, inexactes ou leur collecte ou traitement doit être illégal.

Droit d’opposition 

Toute personne a la possibilité de s’opposer, pour des motifs légitimes, à figurer dans un fichier, et peut refuser sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection commerciale.

F

Finalité d’un traitement 

C’est le but du traitement, ce pourquoi il a été mis en place. Ce peut être la gestion des recrutements, la gestion des clients, la surveillance des locaux, le ciblage de prospects, etc.

Loi informatique et libertés

Loi principale française datant du 6 janvier 1978 sur la protection des données personnelles.

P

Principe de minimisation

La collecte et le traitement des données sont limités à la seule finalité du traitement. Il contraint donc les entreprises à retirer toutes les données qui ne sont pas nécessaires à la finalité du traitement et à redéfinir les données indispensables au traitement de chaque applicatif.

R

Registre interne des traitements de données à caractère personnel

Le RGPD contraint toute entreprise à tenir consigner dans un registre l’ensemble des traitements de données à caractère personnel qu’elle met en œuvre. Les informations suivantes doivent être consignées : le nom et les coordonnées des responsables de traitements, co-responsables de traitements, sous-traitants et destinataires intervenant dans le traitement ; les finalités du traitement ; les catégories de personnes concernées et les catégories de données à caractère personnel ; les transferts de données à caractère personnel hors UE ; une description générale des mesures de sécurité techniques et organisationnelles ; dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données.

Responsable de traitement 

La personne physique ou morale, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

RGPD (General Data Protection Régulation)

Également appelée RGPD (Règlement général sur la protection des données) en France, est devenu le 5 mai 2018 le Règlement européen sur la protection des données : « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

T

Traitement de données à caractère personnel 

Toute opération, ou ensemble d’opérations, portant sur des données personnelles. Cela concerne de multiples procédés : collecte, enregistrement, organisation, conservation, adaptation, modification, etc.

Transfert de données hors Union Européenne

Lorsque les données personnelles sont communiquées, cotées ou déplacées et ont vocation à être traitées dans un autre pays qu’un des 28 pays de l’UE.

V

Violation de données

Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Obtenez le guide directement dans votre boîte e-mail





Obtenez le guide RGPD