Comprendre le RGPD en 25 mots-clés :
Accountability : L’accountability, ou responsabilité, est un principe central du RGPD. Il impose aux entreprises de mettre en œuvre des mesures adéquates pour protéger les données personnelles et d’être en mesure d’en démontrer la conformité. Cela inclut notamment la création et la tenue de documents juridiques tels que l’AIPD et le registre des traitements.
Analyse d’impact : Également désignée sous les acronymes AIPD ou PIA (Privacy Impact Assessment en anglais), l’analyse d’impact constitue à la fois un document et une étape clé dans la gestion de projets. Elle est requise dans certains cas pour identifier et anticiper les scénarios susceptibles de menacer la vie privée des personnes concernées. Le DPO (cf. plus loin) intervient pour proposer ou mettre en œuvre des mesures permettant de réduire ces risques.
Anonymisation : L’anonymisation est une méthode de protection des données reconnue par le RGPD. Elle consiste à appliquer des mesures techniques visant à supprimer de manière irréversible tout lien entre un jeu de données et la personne concernée. Contrairement à la pseudonymisation, qui partage des objectifs similaires, l’anonymisation est définitive.
Base légale : Le RGPD définit plusieurs bases légales permettant de justifier le traitement des données personnelles, parmi lesquelles figurent le consentement, l’exécution d’un contrat, le respect d’une obligation légale, la protection des intérêts vitaux, la réalisation d’une mission d’intérêt public, et l’intérêt légitime.
CNIL : En France, la CNIL est l’autorité de contrôle chargée de veiller à l’application du RGPD. Chaque État membre de l'Union européenne dispose d'une autorité équivalente, tandis qu'une instance européenne coordonne leurs actions pour garantir une application harmonisée du RGPD à l’échelle européenne.
Consentement : Le consentement est l’un des principes clés du RGPD et constitue l’une des bases légales permettant à une entreprise de collecter et de traiter des données personnelles. Bien qu’il ne soit qu’une base parmi d’autres, il est couramment utilisé, notamment pour le dépôt de cookies, l’envoi de newsletters ou d’e-mails. Pour être valide, le consentement doit respecter certaines conditions et peut être retiré à tout moment par la personne concernée.
Cookies : Les cookies et autres traceurs représentent l’un des aspects les plus visibles du RGPD pour les utilisateurs de sites web. C’est le RGPD qui impose la mise en place des désormais incontournables bandeaux de cookies et exige que le consentement des utilisateurs soit obtenu avant leur dépôt et activation, à l’exception des cookies nécessaires au fonctionnement du site.
Données personnelles : Le RGPD définit précisément les données personnelles comme étant "toute information se rapportant à une personne physique identifiée ou identifiable". Cela inclut des éléments évidents comme le nom ou l’adresse e-mail, mais également des ensembles de données qui, combinés, permettent d’identifier une personne, comme son historique de navigation dans certains cas.
Données sensibles : Les données sensibles constituent une catégorie particulière de données personnelles en raison de leur nature. Elles concernent notamment des informations liées à la santé, aux convictions religieuses, à l’orientation sexuelle, ou à d’autres aspects intimes de la vie privée.
DPO : Le DPO, ou Data Protection Officer (Délégué à la Protection des Données en français), est le garant de la conformité d’une organisation au RGPD. Il supervise l’application des règles de protection des données au sein de l’entreprise. Toutefois, la désignation d’un DPO n’est pas obligatoire dans toutes les organisations, notamment en fonction de leur taille et de leur activité. Des solutions comme Witik proposent des services de DPO externalisés et digitalisés.
Durée de conservation : Une fois collectée, une donnée personnelle ne peut pas être conservée indéfiniment. Sa durée de conservation doit être limitée et conforme aux dispositions légales en fonction de la nature de la donnée. Cet aspect constitue une exigence clé pour assurer la conformité au RGPD.
Finalité du traitement : Selon le RGPD, les données personnelles doivent être collectées et traitées dans un but précis, clair et légitime. La finalité du traitement garantit une gestion transparente, équitable et conforme à la loi.
Exercice des droits : Le RGPD impose aux entreprises de faciliter l’exercice des droits des individus, notamment le droit à l’oubli, à la suppression, à l’accès aux données personnelles, ou encore à leur portabilité. Assurer ces droits est un pilier de la protection des données.
Minimisation des données : La collecte de données personnelles doit se limiter à ce qui est strictement indispensable pour atteindre les finalités définies. Il est essentiel d’éviter de recueillir des informations superflues ou excessives.Personne concernée : Ce terme fait référence à l'individu dont les données personnelles sont collectées ou traitées. Le RGPD accorde à chaque personne concernée des droits spécifiques, tels que le droit d'accès, le droit de rectification, et bien d'autres.
Personne concernée : Ce terme fait référence à l’individu dont les données personnelles sont collectées. Le RGPD accorde à chaque personne concernée des droits spécifiques, tels que le droit d’accès, le droit de rectification, et d'autres droits relatifs à la gestion de ses données.
Privacy by Default : Ce principe exige que les paramètres par défaut d’un produit ou service offrent le plus haut niveau de protection des données personnelles, sans nécessiter d’intervention de la part des utilisateurs.
Privacy by Design : Selon ce principe, la protection des données personnelles doit être intégrée dès la conception d’un projet. Cela implique la mise en place de mesures de sécurité dès les premières étapes de développement d’un service ou produit, plutôt que d’y remédier après coup.
Profilage : Le profilage désigne tout traitement automatisé de données personnelles visant à évaluer certains aspects personnels d’un individu. Cela inclut l’analyse ou la prédiction de ses performances professionnelles, de sa situation économique, de sa santé, ou encore de ses préférences et comportements.
Pseudonymisation : Ce processus consiste à remplacer les informations permettant d’identifier une personne par des identifiants artificiels. Cela réduit le risque d’identification directe tout en permettant une réidentification si nécessaire, sous conditions strictes.
Registre des traitements : Document central pour la conformité au RGPD, le registre des traitements recense toutes les opérations de traitement effectuées par l’entreprise, en précisant leurs responsables et caractéristiques principales. Conformément au principe d’accountability, ce registre prouve que l’entreprise applique une politique respectueuse des exigences du règlement européen.
Responsable de traitement : Le responsable de traitement est l’entité ou la personne qui détermine les finalités et moyens d’un traitement de données. Souvent, il s’agit de l’entreprise réalisant le traitement, bien qu’un sous-traitant puisse intervenir en son nom et pour son compte.
Sanctions : En cas de non-respect des obligations du RGPD, des sanctions peuvent être prononcées par la CNIL. Ces sanctions peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel de l’entreprise concernée.
Sous-traitant : Selon le RGPD, un sous-traitant est un prestataire qui réalise des opérations de traitement de données personnelles pour le compte d’un tiers, désigné comme le responsable de traitement. Une entité peut cumuler les rôles de sous-traitant et de responsable de traitement, auquel cas elle doit tenir deux registres distincts des traitements.
Traitement de données : Ce terme englobe toute opération effectuée sur des données personnelles, telles que la collecte, la modification, ou la consultation. Chaque traitement doit être justifié par un objectif précis, appelé la finalité du traitement.
Violation de données : Une violation de données se produit lorsqu’un incident de sécurité entraîne la destruction, la perte, l’altération, ou la divulgation non autorisée de données personnelles, ou encore un accès non autorisé à ces données.
Découvrez d'autres termes en cliquant sur le bouton ci-dessous :