Définition des termes techniques et juridiques
Article
Pour être conformes au RGPD (règlement général relatif à la protection des données), les collectivités locales doivent mettre en place des mesures techniques et organisationnelles protégeant leurs données personnelles.
Afin d’atteindre cet objectif, il est essentiel de bien comprendre les termes et les notions juridiques utilisés par le règlement.
C’est pourquoi il vous est proposé cette liste de mots-clés. A noter que l'essentiel de ces définitions sont extraites du règlement.
I - Rappel des notions fondamentales du RGPD
Le RGPD personnel s’applique au traitement automatisé ou non, des données personnelles (articles 2 et 3 du Règlement) :
- Effectué dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union
- Relatif à des personnes concernées qui se trouvent sur le territoire de l’Union, et ce même si le responsable de traitement ou le sous-traitant n’est pas établi sur le territoire de l’Union européenne dès lors que les activités de traitement sont :
- Liées à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non
Ou - Liées au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union
- Liées à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non
- Par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un Etat membre s’applique en vertu du droit international public (la Suisse par exemple).
II - Définitions
Les définitions peuvent être regroupées en trois grands thèmes : les notions fondamentales du RGPD, les termes informatiques et les autres notions.
A) Les grandes notions du RGPD
Dans le RGPD, on distingue des notions juridiques classiques, des grandes notions concernant la donnée et le droit des personnes.
Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.
Les notions juridiques « classiques »
Liste des questions :
1 - Le groupe de travail « article 29 »
Il s’agit du groupe de travail sur la protection des données institué par l’article 29 de la directive sur la protection des données. Il fournit à la Commission européenne un avis indépendant dans des matières relatives à la protection des données, et soutient le développement de politiques harmonisées dans les pays de l’Union européenne.
2 - Une publicité comportementale
Publicité basée sur l’observation du comportement des individus dans le temps. Le comportement des internautes (visites répétées d’un site, interactions, mots-clés, production de contenus, etc.) est passé au crible pour établir un profil qui permettra de leur fournir des publicités sur mesure.
Les notions concernant la donnée
Liste des questions :
- Un fichier
- Un traitement
- La finalité d’un traitement
- Une donnée
- Une donnée à caractère personnel
- Une donnée sensible
- L’open data
- Le Big Data
- Une exploration de données ou datamining
- Le cloud computing
- Un destinataire
- Un responsable de traitement
- Un sous-traitant
- La géolocalisation
- Les données de localisation
- Le backdoor
- Un transfert de données
- Une analyse d’impact
- Le profilage
- La « pseudonymisation »
- Une banque de données (Data bank)
- Une base de données
1 - Un fichier
Selon l’article 4 du Règlement : « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ».
Autrement dit, un fichier est un ensemble de "fiches", listes ou dossiers, structuré par un système de classement ou d’indexation permettant d’accéder facilement aux données. Un fichier peut donc être "papier" ou "électronique".
2 - Un traitement
L’article 4.2 du RGPD donne une définition de la notion de traitement : « Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles e données à caractère personnel ». Autrement dit, c'est toute opération portant sur des données personnelles, quel que soit le procédé utilisé.
Exemple de traitement : La collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données personnelles.
Un traitement est donc un fichier, une base de données ou un tableau Excel. Il peut s'agir aussi d'une installation de contrôle d’accès, de vidéosurveillance, d'un système de paiement par carte bancaire ou de reconnaissance biométrique, d'une application pour smartphone, etc.
Un traitement de données à caractère personnel peut être informatisé ou non. En effet, un fichier papier organisé selon un plan de classement, des formulaires papiers nominatifs ou des dossiers de candidatures classés par ordre alphabétique ou chronologique sont aussi des traitements de données personnelles.
Pour conclure sur le traitement :
- La moindre action effectuée sur les données est un traitement
- Toute entité réalise nécessairement un traitement.
3 - La finalité d’un traitement
C’est l’objectif principal d’une application informatique de données personnelles. Par exemple : registre des élections, gestion des inspections scolaires, gestion du fichier associations.
4 - Une donnée
Représentation d’une information sous une forme conventionnelle destinée à faciliter son traitement.
5 - Une donnée à caractère personnel
C'est toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement.
Exemple de données personnelles : Un nom, une photo, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.
Peu importe que ces informations soient confidentielles ou publiques.
A noter : pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée : noms masqués, etc.
Attention : s'il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l'utilisation de moyens techniques divers, d'identifier une personne, les données sont toujours considérées comme personnelles.
6 - Une donnée sensible
Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes
7 - L’open data
L’open data désigne un mouvement, né en Grande-Bretagne et aux Etats-Unis, d’ouverture et de mise à disposition des données produites et collectées par les services publics.
8 - Le Big Data
Littéralement big data peut être traduit par données massives. Avec le développement des nouvelles technologies, d’internet et des réseaux sociaux ces vingt dernières années, la production de données numériques a été de plus en plus nombreuses. Le gigantesque volume de données numériques produites combiné aux capacités de stockage et à des outils d’analyse en temps réel offre aujourd’hui des possibilités inégalées d’exploitations des informations. Les ensembles de données traités correspondant à la définition du big data répondent à trois caractéristiques principales : volume, vélocité et variété.
9 - Une exploration de données ou datamining
Processus de recherche dans un ensemble de données destiné à détecter des corrélations cachées ou des informations nouvelles.
10 - Le cloud computing
Le cloud computing (en français « informatique dans les nuages ») fait référence à l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. Les applications et les données ne se trouvent plus sur un ordinateur déterminé mais dans un nuage (cloud) composé de nombreux serveurs distants interconnectés.
11 - Un destinataire
C’est la personne habilitée à obtenir communication de données enregistrées dans un fichier ou un traitement en raison de ses fonctions.
12 - Un responsable de traitement
Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal. Ainsi la commune représentée par son maire ou la communauté des communes représentée par son président.
13 - Un sous-traitant
C’est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
14 - La géolocalisation
Technologie permettant de déterminer la localisation d’un objet ou d’une personne avec une certaine précision. La technologie s’appuie généralement sur le système GPS ou sur les interfaces de communication d’un téléphone mobile. Les applications et finalités de la géolocalisation sont multiples : de l’assistance à la navigation, à la mise en relation des personnes, mais aussi à la gestion en temps réel des moyens en personnel et en véhicule des entreprises etc.
15 - Les données de localisation
Toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communication électronique accessible au public.
16 - Le backdoor
Le principe de la mise en œuvre d’une backdoor ou porte dérobée correspond à prévoir un accès tenu secret vis-à-vis de l’utilisateur légitime aux données contenues dans un logiciel ou sur un matériel. Le principe de la mise en œuvre d’une « Master Key » ou « clé maitre » correspond à prévoir ouvertement un tel accès, mis en œuvre via cette clé, aux données chiffrées contenues dans un logiciel ou sur un matériel.
17 - Un transfert de données
Toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne.
18 - Une analyse d’impact
Processus dans le cadre duquel des efforts conscients et systématiques sont réalisés afin d’évaluer les risques pour la vie privée liés à la collecte, l’utilisation et la communication des données personnelles. Les risques sont ainsi recensés, les problèmes anticipés, et des solutions recherchées.
19 - Le profilage
C’est le droit pour une personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris du profilage, sauf si cela est :
- Autorisé par la loi
- « nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable de traitement »
- Fondé sur le consentement explicite de la personne.
Le responsable du traitement doit mettre en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne.
20 - La « pseudonymisation »
Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable.
21 - Une banque de données (Data bank)
Ensemble de données relatif à un domaine qui organise des connaissances pour être offert aux consultations d’utilisateurs.
22 - Une base de données
Ensemble de données organisé en vue de son utilisation par des programmes correspondant à des applications distinctes et de manière à faciliter l’évolution indépendante des données et des programmes.
Le droit des personnes concernées
Le droit à la protection des données à caractère personnel est inscrit dans la charte des droits fondamentaux de l’Union européenne au titre des libertés fondamentales telles que la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information ou le respect de la vie privée et familiale, etc. Toute personne auprès de laquelle sont recueillies des données à caractère personnel ou qui est concernée par un traitement dispose d’un droit à l’information, d’un droit d’accès, d’un droit d’opposition, et d’un droit de rectification.
Le responsable de la mise en œuvre d’un traitement doit informer les personnes concernées et leur donner les moyens de faire ainsi valoir leurs droits d’accès, de rectification et d’opposition dans le cadre de la loi. En particulier il doit mentionner sur les supports d’information utilisés pour collecter les données, ses coordonnées ainsi que l’adresse de messagerie de l’équipe du délégué de la protection des données.
Liste des questions :
- Le droit à l’information
- Le droit d’accès
- Le droit d’opposition
- Le droit de rectification
- Le principe de responsabilisation d’accountability
- Le droit à la portabilité
- Le droit à l’oubli
- Le droit au déréférencement
- Privacy by default
- Privacy by design
1 - Le droit à l’information
C’est le droit pour toute personne de savoir si des données la concernant font l’objet d’un traitement et d’obtenir du responsable du traitement des informations sur celui-ci (Article 32 de la loi "Informatique et libertés).
Toute personne a un droit de regard sur ses propres donnés.
Par conséquent, quiconque met en œuvre un fichier ou un traitement de données personnelles est obligé d’informer les personnes fichées de son identité, de l’objectif de la collecte d’informations et de son caractère obligatoire ou facultatif, des destinataires des informations, des droits reconnus à la personne, des éventuels transferts de données vers un pays hors de l’Union Européenne.
Ce droit de regard sur ses propres données personnelles vise aussi bien la collecte des informations que leur utilisation. Ce droit d’être informé est essentiel car il conditionne l’exercice des autres droits tels que le droit d’accès ou le droit d’opposition.
2 - Le droit d’accès
Toute personne a le droit d’obtenir communication des données la concernant enregistrées dans le traitement sous une forme accessible et en obtenir une copie (Article 39 de la loi)
Toute personne peut interroger le responsable d’un traitement de données à caractère personnel et obtenir sans justification :
- la confirmation que des données la concernant font l’objet ou non d’un traitement ;
- des informations relatives à la finalité du traitement, aux catégories de données et aux destinataires de ces données ;
- la communication des données qui la concernent ainsi que toute information sur l’origine de celles-ci ;
- des informations sur les transferts de données envisagés à destination d’un Etat non membre de la l’union européenne.
3 - Le droit d’opposition
Toute personne peut s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement (Article 38 de la loi).
Toute personne peut refuser, sans avoir à se justifier, que les données qui la concernent soient utilisées à des fins de prospection, en particulier commerciale.
En principe, toute personne peut décider elle-même de l’utilisation de données la concernant. En ce sens, elle peut refuser d’apparaître dans certains fichiers ou de voir communiquer des informations sur elles à des tiers.
Le droit d’opposition peut s’exprimer :
- par un refus de répondre lors d’une collecte non obligatoire de données,
- par le refus de donner l’accord écrit obligatoire pour le traitement de données sensibles telles que les opinions politiques ou les convictions religieuses,
- par la faculté de demander la radiation des données contenues dans des fichiers commerciaux,
- par la possibilité de s’opposer à la cession ou la commercialisation d’informations, notamment par le biais d’une case à cocher dans les formulaires de collecte ... En pratique
Le droit d’opposition s’exerce au moment de la collecte d’informations ou plus tard en s’adressant au responsable du fichier. Le droit d’opposition ne doit occasionner aucun frais à la personne qui l’exerce.
Le responsable de traitement qui détient les données dispose d’un délai de deux mois pour répondre à une demande d’opposition. Si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, celui-ci doit inviter le demandeur dans le délai de deux mois à les lui fournir. Le responsable de traitement est en droit de refuser d’accepter la demande d’opposition. Les décisions de refus doivent être motivées par le responsable du traitement, sauf lorsque la demande est manifestement abusive. En cas d’absence de réponse (refus tacite), le demandeur peut saisir la CNIL et les tribunaux.
4 - Le droit de rectification
Toute personne peut exiger du responsable d’un traitement que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données la concernant qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite (Article 40 de la loi.) Le droit de rectification ne s’applique pas aux traitements littéraires, artistiques et journalistiques.
Attention lorsqu’une personne en fait la demande, le responsable du traitement doit justifier sans frais qu’il a procédé aux modifications demandées.
5 - Le principe de responsabilisation d’accountability
Le Règlement met en place une logique de responsabilisation du responsable de traitement qui devra pouvoir justifier auprès de l’autorité de contrôle qu’il a bien pris toutes les mesures nécessaires pour que les données qu’il collecte et traite soient correctement protégées.
Le responsable de traitement va devoir prouver qu’il se conforme bien à ses obligations en matière de protection des données à caractère personnel et que toutes les mesures appropriées afin de protéger efficacement les données collectées ont bien été prises.
Cela peut se faire par :
- La tenue d’un registre reprenant les activités de traitement des données
- La réalisation d’études d’impact sur la vie privée
- La mise en place de mesures nécessaires à la sécurité et la confidentialité des données comme la tenue d‘un registre ou la notification des failles de sécurité
- La nomination d’un délégué à la protection des données (DPD) et une coopération avec l’autorité de contrôle
- L’application d’un code de bonne conduite approuvé notamment par l’autorité de contrôle et comprenant les mécanismes permettant de procéder au contrôle obligatoire du respect de ses dispositions par les responsables de traitement ou les sous-traitants qui s’engagent à l’appliquer.
6 - Le droit à la portabilité
C’est le droit d’obtenir les données dans un format structuré couramment utilisé et lisible par une machine. C’est dont le droit de transférer les données directement auprès d’un nouveau responsable du traitement.
7 - Le droit à l’oubli
Ce droit peut se définir comme « Principe selon lequel l’exploitant d’un moteur de recherche doit être considéré comme un responsable du traitement de données à caractère personnel et, en tant que tel, est tenu de supprimer les données traitées relatives à une personne physique sur simple demande de cette dernière. » Autrement dit, c’est la possibilité pour un individu de pouvoir décider qu’une information relative à son passé sorte de la sphère publique. Il s’agit d’empêcher une information ancienne de bénéficier de la publicité d’une information fraiche.
8 - Le droit au déréférencement
Dans un arrêt du 13 mai 2014, la Cour de Justice de l’Union européenne a confirmé que les moteurs de recherche sont responsables de traitement. A ce titre, ils doivent respecter le droit européen à la protection des données personnelles. Désormais les personnes peuvent leur demander directement de désindexer une page web associée à leurs nom et prénom. Ce déréférencement ne signifie pas l’effacement de l’information sur le site internet source. Le contenu original reste ainsi inchangé et est toujours accessible via les moteurs de recherche en utilisant d’autres mots-clés de recherche ou en allant directement sur le site à l’origine de la diffusion.
9 - Privacy by default
Le responsable de traitement garantit, par défaut, que seules les données qui sont nécessaires à la finalité recherchée sont traitées.
10 - Privacy by design
Le responsable de traitement garantit, dès la conception du traitement et tout au long de l’exploitation, de l’adéquation du traitement au regard de la finalité recherché et de la mise en place de mesures telles que la pseudonymisation visant à satisfaire les objectifs de sécurité.
Liste des questions :
- Une barrière de sécurité (firewall ou pare-feu)
- Un extranet
- Un pirate ou cracker
- Un pointeur
- Un répertoire
- Un cookie
- Un FAI (fournisseur d’accès à internet)
- Le protocole FTP
- Un listing
- La mémoire cache
- Un Pop-up
- Un log
- Un terminal
- Un identifiant de connexion
- Une donnée de navigation
1 - Une barrière de sécurité (firewall ou pare-feu)
Dispositif informatique qui filtre les flux d’informations entre un réseau interne à un organisme et un réseau externe en vue de neutraliser les tentatives de pénétration en provenance de l’extérieur et de maitriser les accès vers l’extérieur.
2 - Un extranet
Réseau de télécommunication et de téléinformatique constitué d’un intranet étendu pour permettre la communication avec certains organismes extérieurs, par exemple des clients ou des fournisseurs.
3 - Un pirate ou cracker
Personne qui contourne ou détruit les protections d’un logiciel, d’un ordinateur ou d’un réseau informatique.
4 - Un pointeur
Données permettant de retrouver l’adresse d’un groupe de données.
5 - Un répertoire
Liste d’identificateurs, classés selon des arguments appropriés permettant l’accès aux informations qu’ils désignent.
6 - Un cookie
Fichier écrit sur le PC de l’internaute par le serveur web distant, permettant de garder en mémoire un contexte de connexion.
7 - Un FAI (fournisseur d’accès à internet)
Entreprise proposant de connecter un ordinateur ou un réseau de machines à internet.
8 - Le protocole FTP
Le protocole FTP permet le transfert de fichiers d’une machine locale (votre ordinateur) vers une machine distante (souvent votre hébergeur de page ou un serveur quelconque).
9 - Un listing
Un listing est l’ensemble des feuilles obtenues en imprimant une liste depuis votre ordinateur : listing de noms, d’adresses, de produits de tarifs etc.
10 - La mémoire cache
La mémoire cache sert à stocker les données auxquelles un système fait le plus souvent appel, permettant ainsi de réduire les états d’attente du microprocesseur. L’utilisation de mémoire cache est un moyen astucieux pour optimiser les temps de chargement et désengorger le réseau.
11 - Un Pop-up
Un Pop-up (ou fenêtre surgissante) est une zone qui vient s’afficher à l’écran quand on est sur internet, en surimpression du document que vous êtes en train de consulter et sans que vous l’ayez demandé. Les pop-up sont très utilisés par les sites web pour vous imposer des messages publicitaires.
12 - Un log
Dans le domaine informatique, le terme log désigne un type de fichier, ou une entité équivalente, dont la mission principale consiste à stocker un historique des événements. Diminutif de logging, le terme peut être traduit en français par journal. Le log s'apparente ainsi à l’historique qui ordonne les différents événements qui se sont produits sur un ordinateur, un serveur, etc. Il permet ainsi d'analyser heure par heure, voire minute par minute, l'activité interne d'un processus.
13 - Un terminal
En informatique, un terminal désigne un ensemble de périphériques de sortie (écran...) ou d'entrée (clavier, souris...), en quelque sorte l'extrémité d'un réseau.
14 - Un identifiant de connexion
Donnée qui permet de se connecter à un logiciel ou un site internet.
15 - Une donnée de navigation
Information relative à l'utilisation d'internet associée à un utilisateur particulier ou à un terminal connecté à internet
Liste des questions :
1 - Le smart grids
Le compteur communicant est une des composantes des réseaux de distribution d’énergie intelligents (également désignés sous les termes anglais de smart grids). Ces réseaux utilisent des moyens informatiques évolués afin d’optimiser la production et l’acheminement de l’électricité, notamment grâce à la télétransmission d’informations relatives à la consommation des personnes. Cette télétransmission aura notamment pour conséquence de supprimer la relève physique des compteurs.
2 - Une smart city
La ville intelligente est un nouveau concept du développement urbain. Il s’agit d’améliorer la qualité de vie des citadins en rendant la ville plus adaptative et efficace, à l’aide de nouvelles technologies qui s’appuient sur un écosystème d’objets et de services. Le périmètre couvrant ce nouveau mode de gestion des villes inclut notamment : infrastructures publiques (bâtiments, mobiliers urbains, domotique etc), réseaux (eau, électricité, gaz, télécoms) ; transports (transports publics, route et voitures intelligentes, covoiturage, mobilités dites douces – à vélo, à pied etc) ; les e-services et e-administrations.
3 - Un guichet unique (en anglais, One Stop Shopping ou OSS)
Dispositif par lequel un opérateur de réseau ou un fournisseur de services offre à un client une prestation commerciale globale permettant d’accéder à un ou plusieurs services de télécommunication et fait appel, s’il en est besoin, aux moyens d’un ou plusieurs autres opérateurs ou fournisseurs.
Glossaire Mise en forme
