Désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Analyse d’impact sur la protection des données (ou EIVP : Etude d’impact sur la vie privée ; ou PIA : Privacy impact accessment en anglais). Il s’agit d’analyser les risques liés à la mise en œuvre d’un traitement afin de mettre en œuvre le maximum de moyens pour minorer leur impact sur la vie privée.

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données personnelles. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Six bases légales sont prévues par le RGPD :

• le consentement ;
• le contrat ;
• l’obligation légale ;
• la sauvegarde des intérêts vitaux ;
• l’intérêt public ;
• les intérêts légitimes.

Avec le développement des nouvelles technologies, d’internet et des réseaux sociaux ces vingt dernières années, la production de données numériques a été de plus en plus nombreuse : textes, photos, vidéos, etc. Le gigantesque volume de données numériques produites combiné aux capacités sans cesse accrues de stockage et à des outils d’analyse en temps réel de plus en plus sophistiqués offre aujourd’hui des possibilités inégalées d’exploitation des informations. Les ensembles de données traités correspondant à la définition du big data répondent à trois caractéristiques principales : volume, vélocité et variété.

La biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques sont des données à caractère personnel car elles permettent d’identifier une personne. Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales, etc.).

Pratique qui consiste à utiliser ses équipements personnels (téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel.

Comité européen de la protection des données. C’est l’autorité européenne de la protection des données. Son rôle principal est de contribuer à l’application du Règlement général sur la protection des données. Créé en 2018, le CEPD remplace le G29 (Groupe de travail au niveau de l’Union Européenne rassemblant les représentants de chaque autorité indépendante de protection des données nationale). Cette organisation réunissant l’ensemble des CNIL européennes a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques à l’égard des traitements de données personnelles.

C’est une procédure par laquelle un organisme d’évaluation externe appelé également tiers certificateur va donner l’assurance écrite qu’une personne, un produit, un processus ou un service est en conformité avec les exigences données dans un référentiel.

Crypter des données afin d’imposer l’utilisation d’un mot de passe pour y accéder.

Le cloud computing fait référence à l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. Les applications et les données ne se trouvent plus sur un ordinateur déterminé mais dans un nuage (cloud) composé de nombreux serveurs distants interconnectés.

Commission Nationale Informatique et Libertés. Autorité administrative indépendante créée en 1978, composée d’un collège pluraliste de 17 commissaires, provenant d’horizons divers (4 parlementaires, 2 membres du Conseil économique et social, 6 représentants des hautes juridictions, 5 personnalités qualifiées désignées par le Président de l’Assemblée nationale (1), par le Président du Sénat (1), par le Conseil des ministres (3). Le mandat de ses membres est de 5 ans.

Données à caractère personnel. Il s’agit de toute information relative à une personne physique identifiée ou susceptible de l’être, directement ou indirectement, par référence à un numéro d’identification ou un, ou plusieurs, éléments qui lui sont propres.

Toute information identifiant directement ou indirectement une personne physique (ex. nom, no d’immatriculation, no de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…).

Données traitant des origines raciales ou ethniques, des opinions philosophiques, politiques, syndicales ou religieuses, de la vie sexuelle ou de la santé. La collecte et le traitement de ces données nécessite la réalisation d’une analyse d’impact sur la protection des données. Le traitement de ces impose le recueil du consentement des personnes concernées.

Délégué à la protection des données.

Il est chargé de :

• Veiller au respect de la loi « Informatique et Libertés » dans les différentes structures qui l’auront désigné.
• Assurer l’intermédiation entre la CNIL et les structures
• Contrôler la liste (registre) des traitements mis en œuvre ; la tenir à jour et accessible à toute personne en faisant la demande.
• Conseiller, recommander, contrôler et alerter sur les manquements et en tenir informé le ou les responsables des traitements (Président(e) de chaque structure). Il doit être consulté préalablement à la mise en œuvre des traitements.
• Prendre en compte des réclamations et demandes des personnes concernées par les traitements (clients, usagers, adhérents, personnel…)
• Mener des actions pédagogiques, organiser des missions d’audits, mener ou faire mener des études de risque, élaborer les codes de conduite (guides, procédures)…

Data Protect Officer = DPD

Toute personne a le droit de se voir remettre ou transmettre, dans un langage réutilisable, l’ensemble des données qu’elle a confié/transmis sur un site internet.

Toute personne a un droit de regard sur ses propres données ; par conséquent, quiconque met en œuvre un fichier ou un traitement de données personnelles est obligé d’informer les personnes fichées de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits reconnus à la personne, des éventuels transferts de données vers un pays hors de l’Union européenne.

Toute personne peut prendre connaissance de l’intégralité des données la concernant dans un fichier en s’adressant directement à ceux qui les détiennent, et en obtenir une copie dont le coût ne peut dépasser celui de la reproduction.

Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsqu’ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Toute personne a la possibilité de s’opposer, pour des motifs légitimes, à figurer dans un fichier, et peut refuser sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection commerciale.

Tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminé (fichier informatique ou papier…).

But, objectif poursuivi (Exemples : facturer les clients, rémunérer le personnel, faire la comptabilité…).

Le principe de minimisation prévoit que les données à caractère personnel  doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Numéro d’inscription au répertoire national d’identification des personnes physiques (RNIPP). Le NIR ou numéro de sécurité sociale est attribué à chaque personne à sa naissance sur la base d’éléments d’état civil transmis par les mairies à l’INSEE.

Protection des données à caractère personnel.

Protection des données dès la conception

Protection des données par défaut

Le quantified self désigne la pratique de la « mesure de soi » et fait référence à un mouvement né en Californie qui consiste à mieux se connaître en mesurant des données relatives à son corps et à ses activités.

Liste des traitements de données à caractère personnel mis en œuvre par une structure.

Autorité qui détermine les finalités du traitement et les moyens nécessaires à sa mise en œuvre. Dans le cadre d’un EPCI, il s’agit du Président(e), agissant en tant que représentant légal.

Personne de la structure en charge d’accompagner la délégation CNIL en cas de contrôle. Le Président(e) de préférence, en tant que responsable de traitement.

Relais informatique et libertés. Agent ressource local relais du DPD.

Il assure les missions suivantes :

• Relais des questions informatique et libertés
• Sensibilisation des responsables de traitement (structure)
• Suivi de la gestion des réclamations
• Création et suivi des registres de la structure

Le sous-traitant est la personne physique ou morale (entreprise ou organisme  public) qui traite des données pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation. Les sous-traitants ont des obligations concernant les données personnelles, qui doivent être présentes dans le contrat.

Toute opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, verrouillage, effacement, destruction.

Une violation de la sécurité se caractérise par la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite.