Dictionnaire GDPR

‍Accountability L'obligation de rendre compte est l'un des principes clés du GDPR. Les organisations doivent être en mesure de démontrer qu'elles se conforment au GDPR. Cela implique d'avoir mis en place des politiques et des procédures adéquates et de pouvoir montrer qu'elles sont respectées.

‍

ACTA ACTA est un accord international qui vise à établir des normes mondiales pour l'application de la propriété intellectuelle. L'accord a été critiqué pour son manque de transparence et pour le fait qu'il pourrait porter atteinte aux libertés civiles.

‍

Décision d'adéquation Une décision d'adéquation est une décision de la Commission européenne selon laquelle les lois sur la protection des données d'un pays tiers offrent un niveau de protection adéquat pour les données à caractère personnel transférées de l'UE vers ce pays.

‍

Groupe de travail "Article 29" (prédécesseur de l'EDPB) Le groupe de travail "Article 29" est un groupe d'autorités de protection des données des États membres de l'Union européenne. Le groupe fournit des conseils sur les questions de protection des données et coordonne l'application de la législation européenne sur la protection des données.

Depuis le 25 mai 2018, le groupe de travail "Article 29" a cessé d'exister et a été remplacé par le Comité européen de la protection des données (CEPD).

‍

Procédure du comité de l'article 93 La procédure du comité de l'article 93 est une procédure établie par le Conseil de sécurité des Nations unies pour enquêter sur d'éventuelles violations de la Charte des Nations unies. Elle permet au Conseil de recueillir des informations auprès des États membres des Nations unies et d'entendre leurs points de vue sur la question faisant l'objet de l'enquête. Le Comité peut également demander des informations à d'autres sources, y compris des ONG et des organisations internationales.

Il s'agit d'un comité au sens du règlement (UE) n° 182/2011.

‍

Décision individuelle automatisée Une décision individuelle automatisée est une décision prise par un système informatique au nom d'une personne. Ce type de décision peut être pris sans la contribution ou l'implication de l'individu lui-même.

‍

Groupe de Berlin Le Groupe de Berlin est une coalition d'associations européennes de banques et de paiements de détail qui se sont réunies pour définir et promouvoir une norme commune pour les virements et les prélèvements dans l'espace unique de paiement en euros (SEPA).

‍

Règles d'entreprise contraignantes Les règles d'entreprise contraignantes sont un ensemble de règles internes qu'une société multinationale adopte afin de se conformer aux lois sur la protection des données dans l'Union européenne. Ces règles sont contraignantes pour toutes les filiales et sociétés affiliées de l'entreprise dans l'UE.

‍

Plainte Une plainte GDPR est une plainte déposée auprès de l'autorité de contrôle en vertu du GDPR. Conformément à l'article 63, paragraphe 1, du règlement (UE) 2018/1725, "toute personne concernée a le droit d'introduire une réclamation auprès du contrôleur européen de la protection des données si elle considère que le traitement des données à caractère personnel la concernant enfreint le présent règlement".

‍

Confidentialité Le principe de confidentialité énoncé dans le GDPR stipule que les données à caractère personnel doivent être traitées de manière confidentielle et ne doivent pas être divulguées à des tiers sans le consentement de la personne concernée.

‍

Consentement Dans le cadre du GDPR, le consentement est défini comme toute manifestation de volonté librement consentie, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par une action positive claire, que des données à caractère personnel la concernant fassent l'objet d'un traitement. (voir l'article 4 sub 11 du règlement (UE) 2016/679 et l'article 3 sub 15 du règlement (UE) 2018/1725).

‍

Responsable du traitement Un responsable du traitement est une personne ou une organisation qui détermine les finalités et les modalités du traitement des données à caractère personnel.

‍

Cookies Lescookies sont de petits éléments de données qui sont stockés sur l'ordinateur d'un utilisateur lorsqu'il visite un site web. Ils sont généralement utilisés pour suivre le comportement de l'utilisateur et recueillir des informations sur ses habitudes de navigation. En vertu du GDPR, les cookies peuvent être considérés comme des données personnelles s'ils contiennent des informations qui peuvent être utilisées pour identifier une personne spécifique. Par conséquent, les entreprises doivent obtenir le consentement explicite des utilisateurs avant d'installer des cookies sur leurs ordinateurs ou d'y accéder.

‍

Responsable du traitement Un responsable du traitement est une personne ou une organisation qui détermine les finalités et les modalités du traitement des données à caractère personnel. En vertu du règlement (UE) 2018/1725, ainsi que du GDPR, le responsable du traitement est la partie qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

‍

Minimisation des données Le principe de minimisation des données veut que les organisations ne collectent et n'utilisent que la quantité minimale de données à caractère personnel nécessaire pour atteindre leur objectif spécifique. Cela signifie que les organisations doivent examiner attentivement les données qu'elles doivent collecter et supprimer toutes les données qui ne sont plus nécessaires.

‍

La minimisation des données est un élément clé de la protection des données et est particulièrement importante lorsqu'il s'agit de données personnelles sensibles. En ne collectant et en n'utilisant que le minimum de données nécessaires, les organisations peuvent réduire le risque de violation des données et protéger la vie privée de leurs clients et de leurs employés.

Voir l'article 5, paragraphe 1, point c), du GDPR et l'article 4, paragraphe 1, point c), du règlement (UE) 2018/1725.

‍

Data mining Le data mining est le processus d'extraction d'informations utiles à partir de grands ensembles de données. Il s'agit de trier de grandes quantités de données pour trouver des modèles et des tendances. L'exploration de données peut être utilisée pour trouver des relations entre différents éléments d'information, tels que les habitudes d'achat des clients, ou pour prédire les tendances futures . Elle est couramment utilisée dans un large éventail de pratiques de profilage, telles que le marketing, la surveillance, la détection de la fraude et la découverte scientifique.

‍

Autorité de protection des données L'autorité de protection des données est une autorité indépendante qui veille à ce que les droits des personnes soient respectés en ce qui concerne leurs données personnelles.

Le CEPD est établi en tant qu'autorité indépendante de protection des données au niveau de l'UE par l'article 52 du règlement (UE) 2018/1725.

‍

Coordinateur de la protection des données Un coordinateur de la protection des données est une personne chargée de veiller à ce que les politiques de protection des données d'une organisation soient respectées. Cette personne peut également être chargée de former le personnel aux questions de protection des données et d'enquêter sur toute violation de données.

‍

Journée de la protection des données La journée de la protection des données a lieu chaque année le 28 janvier.

Cette date marque l'anniversaire de la Convention 108 du Conseil de l'Europe, le premier instrument international juridiquement contraignant relatif à la protection des données.

‍

Évaluation de l'impact sur la protection des données (DPIA) Une analyse d'impact sur la protection des données (DPIA) est un processus qui aide les organisations à identifier et à évaluer les risques liés à la protection des données dans le cadre d'un projet ou d'une initiative spécifique. Une DPIA est requise en vertu du Règlement général sur la protection des données (RGPD) de l'UE lorsque le traitement des données est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes.

‍

Le DPIA est un outil qui peut être utilisé pour aider les organisations à identifier et à évaluer les risques associés à un projet ou à une initiative spécifique. Il est important de noter qu'une DPIA n'est pas un document statique, mais plutôt un document vivant qui doit être mis à jour au fur et à mesure de l'évolution du projet ou de l'initiative.

‍

L'AIPD doit être réalisée au début d'un projet ou d'une initiative et doit être réexaminée régulièrement. Elle doit être considérée comme un processus continu, plutôt que comme un exercice ponctuel.

‍

Le GDPR exige qu'une DPIA soit effectuée lorsque le traitement des données est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes. Il s'agit notamment d'un traitement susceptible d'entraîner un risque de préjudice physique ou psychologique, ou un risque de discrimination, d'exclusion ou d'autres conséquences négatives.

‍

Délégué à la protection des données Un délégué à la protection des données est une personne chargée de veiller à ce que les données d'une organisation soient protégées contre tout accès ou toute divulgation non autorisés. Il est souvent chargé d'élaborer et de mettre en œuvre des politiques et des procédures visant à protéger les données, ainsi que de superviser la conformité de l'organisation avec les lois et réglementations en matière de protection des données (DPD).

‍

Qualité des données GDPR La qualité des données est le processus qui consiste à s'assurer que les données collectées par une organisation sont exactes, complètes et à jour. Ce processus peut être utilisé pour améliorer la qualité des données clients, des données de contact, des données financières et d'autres types de données. (Article 4 du règlement (UE) 2018/1725)

• Légalité, équité et transparence
• Limitation de l'objet
• Minimisation des données
• Précision
• Limitation du stockage
• Intégrité et confidentialité
• Conservation des données
• La conservation des données fait référence à toutes les obligations des responsables du traitement de conserver les données à caractère personnel pour certaines finalités.

La directive sur la conservation des données La directive sur la conservation des données est une directive de l'Union européenne qui oblige les États membres à conserver des données à des fins d'application de la loi et de sécurité nationale. La directive a été introduite pour la première fois en 2006 et a été modifiée en 2009. Elle impose aux États membres de conserver les données pendant un minimum de six mois et un maximum de deux ans. Les données qui doivent être conservées comprennent les données de communication, les données relatives au trafic et les données de localisation.

‍

Personne concernée La personne concernée est celle dont les données à caractère personnel sont collectées, détenues ou traitées.

‍

Transfert de données Dans le cadre du GDPR, le transfert de données fait référence au processus de transfert de données d'une partie à une autre. Ce transfert peut se faire par voie électronique ou physique, au sein de l'UE ou en dehors de l'UE.

‍

Eurodac Eurodac est un système de l'Union européenne permettant de relever les empreintes digitales des demandeurs d'asile et des immigrants illégaux. Il a été créé en 2000 afin d'aider les États membres de l'UE à identifier et à renvoyer les personnes entrées illégalement dans l'UE.

‍

EDPB L'EDPB est le Comité européen de la protection des données. Il s'agit d'un organisme indépendant qui promeut la coopération entre les autorités chargées de la protection des données dans l'Union européenne.

‍

Conférence européenne La Conférence européenne des autorités de protection des données des États membres de l'UE et d'autres pays européens se réunit chaque année au printemps.

‍

CEPD Le Contrôleur européen de la protection des données (CEPD) est une autorité de contrôle indépendante créée par l'Union européenne (UE) en 2004. Son objectif est de veiller à ce que l'UE traite les données à caractère personnel de manière équitable et protège la vie privée des personnes.

‍

Le CEPD est chargé de contrôler le traitement des données à caractère personnel par l'UE, et notamment de veiller à ce que l'UE respecte les dispositions du règlement général sur la protection des données (RGPD). Le CEPD fournit également des orientations sur les questions de protection des données et sensibilise le public aux droits et obligations en matière de protection des données.

‍

Directive 2009/136/CE sur la vie privée et les communications électroniques

La directive sur la vie privée et les communications électroniques couvre le traitement des données à caractère personnel et la protection de la vie privée :

• la sécurité des réseaux et des services ;
• la confidentialité des communications ;
• l'accès aux données stockées ;
• le traitement des données relatives au trafic et à la localisation ;
• l'identification de la ligne appelante ;
• les annuaires publics d'abonnés ; et
• les communications commerciales non sollicitées ("spam")

IWGDPT est l'acronyme de International Working Group on Data Protection in Telecommunications (Groupe de travail international sur la protection des données dans les télécommunications).

‍

Autorités de contrôle communes Une autorité de contrôle commune (ACC) est une autorité de contrôle qui est conjointement responsable de la supervision d'un secteur ou d'une activité particulière.

It is usual to have the EDPS supervise the central unit of large-scale IT systems, while the use made of them by Member States' authorities is supervised by the national data protection authorities.

‍

Large-scale IT systems Large-scale IT systems are computerised systems that support large organisations and manage large amounts of data. They often use mainframe computers and large databases.

‍

Données personnelles Les données personnelles sont des informations qui peuvent être utilisées pour identifier une personne. Il s'agit notamment d'informations telles que votre nom, votre adresse, votre numéro de téléphone et votre adresse électronique. Selon l'article 3 (1) du règlement (UE) 2018/1725 : " on entend par "données à caractère personnel" toute information concernant une personne physique identifiée ou identifiable ("personne concernée") ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ; ".

‍

Les technologies renforçant la protection de la vie privée (PET ) sont des outils logiciels qui aident à protéger la vie privée des utilisateurs lorsqu'ils sont en ligne. Les technologies renforçant la protection de la vie privée peuvent aider à empêcher le suivi en ligne, à assurer l'anonymat et à crypter les communications.

‍

Respect de la vie privée dès la conception La protection de la vie privée dès la conception est une approche de la protection des données qui met l'accent sur la nécessité de prendre en compte la protection de la vie privée tout au long du processus de conception des produits et des services, plutôt que d'y réfléchir après coup. L'expression a été inventée pour la première fois par Ann Cavoukian, commissaire à l'information et à la protection de la vie privée de l'Ontario (Canada), dans les années 1990.

‍

Traitement (de données à caractère personnel) Action de collecter, de stocker, d'utiliser ou de partager des données concernant une personne. Selon l'article 3 (3) du règlement (UE) 2018/1725 : " toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. "

‍

Accord de sous-traitance Un accord de sous-traitance est un contrat entre une entreprise et un sous-traitant qui décrit les responsabilités du sous-traitant en ce qui concerne le traitement des données de l'entreprise. L'accord doit préciser les types de données que le sous-traitant traitera, les obligations du sous-traitant en matière de protection des données et les conséquences de toute violation de l'accord.

‍

Traité de Prüm Le traité de Prüm est un traité signé en 2005 par la Belgique, la France, l'Allemagne, le Luxembourg, les Pays-Bas et l'Espagne. Le traité prévoit une coopération policière et judiciaire entre les États signataires afin de lutter contre le terrorisme, la criminalité transfrontalière et l'immigration clandestine.

‍

Destinataire Conformément à l'article 3, paragraphe 13, du règlement (UE) 2018/1725, on entend par "destinataire" la personne physique ou morale, l'autorité publique, le service ou un autre organisme auquel les données à caractère personnel sont communiquées, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui peuvent recevoir des données à caractère personnel dans le cadre d'une enquête particulière conformément au droit de l'Union ou des États membres ne sont pas considérées comme des destinataires ; le traitement de ces données par ces autorités publiques se fait dans le respect des règles de protection des données applicables en fonction des finalités du traitement ; "

‍

Registres Afin de démontrer la conformité avec le règlement (UE) n° 2018/1725, les responsables du traitement doivent tenir des registres des activités de traitement sous leur responsabilité et les sous-traitants doivent tenir des registres des catégories d'activités de traitement sous leur responsabilité.

‍

Règlement (CE) n° 45/2001 Le règlement (CE) n° 45/2001 est un règlement de l'Union européenne qui assure la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires. Le règlement s'applique à tous les traitements de données à caractère personnel effectués par les institutions et organes communautaires, y compris le Parlement européen, le Conseil de l'Union européenne, la Commission européenne, la Cour de justice de l'Union européenne, le Tribunal de première instance, le Comité économique et social européen, le Comité des régions, le Médiateur européen, le Contrôleur européen de la protection des données et la Banque européenne d'investissement.

‍

Périodes de conservation des données Le délai de conservation des données est la durée pendant laquelle les données sont conservées avant d'être effacées.

‍

Droit d'accès Le droit d'accès, également connu sous le nom d'accès de la personne concernée, est un élément clé du GDPR. Il donne aux personnes le droit d'obtenir des organisations la confirmation que leurs données à caractère personnel sont traitées ou non, ainsi que l'accès à ces données. Les personnes ont également le droit de connaître les finalités pour lesquelles leurs données sont traitées, les destinataires des données et la durée de conservation des données.

‍

Droit à l'information Le droit à l'information est le droit pour un individu d'accéder aux informations détenues à son sujet par des organisations ou le gouvernement. Il peut s'agir de données personnelles, de dossiers médicaux ou d'informations financières. Le droit à l'information est souvent considéré comme faisant partie du droit à la vie privée et est protégé par les lois sur la protection des données dans de nombreux pays.

‍

Droit de rectification Le droit de rectification est le droit de faire corriger des données personnelles inexactes ou incomplètes.

‍

Droit d'opposition Le droit d'opposition est un droit fondamental prévu par le règlement général sur la protection des données (RGPD) de l'UE. Il donne aux individus le droit de s'opposer au traitement de leurs données personnelles à certaines fins, y compris le marketing direct.

‍

Selon le règlement (UE) 2018/1725 " La personne concernée a le droit de s'opposer, pour des raisons tenant à sa situation particulière, à tout moment, à un traitement de données à caractère personnel la concernant, fondé sur l'article 5, paragraphe 1, point a), y compris un profilage fondé sur cette disposition. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre l'existence de motifs légitimes impérieux pour le traitement qui prévalent sur les intérêts, droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense d'un droit en justice."

‍

Droit à la limitation du traitement En vertu du GDPR, les individus ont le droit de limiter le traitement de leurs données personnelles dans certaines circonstances. Ce droit est principalement destiné à permettre aux personnes de suspendre temporairement l'utilisation de leurs données pendant que les questions relatives à l'exactitude ou au traitement de ces données sont résolues.

‍

Sécurité du traitement La sécurité du traitement est la capacité d'une entreprise à protéger les données contre l'accès, l'utilisation ou la divulgation non autorisés. Il incombe à l'entreprise de veiller à ce que les données soient protégées contre ces menaces. Il existe de nombreux moyens de protéger les données, notamment la sécurité physique, la sécurité logique et le cryptage des données.

‍

Principe de la sphère de sécurité Le principe de la sphère de sécurité est un principe juridique qui permet aux entreprises de transférer des données de l'Union européenne vers les États-Unis dans le respect des lois de l'Union européenne sur la protection des données.

‍

Catégories particulières de données à caractère personnel Les catégories particulières de données à caractère personnel comprennent les données qui révèlent "l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données relatives à la santé ou les données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne physique" (article 10 du règlement (UE) 2018/1725 ; article 9 du GDPR).

‍

Système d'information Schengen (SIS ) Le système d'information Schengen (SIS) est un système d'échange d'informations sur les personnes et les biens à l'échelle de l'Union européenne. Il est utilisé par la police et d'autres autorités pour retrouver des personnes recherchées dans le cadre d'activités criminelles et pour identifier des biens volés.

‍

Violation de la sécurité Une violation de la sécurité du GDPR est tout accès non autorisé à des données à caractère personnel ou toute divulgation de ces données. Cela inclut les données physiques et électroniques. Une faille de sécurité peut également se produire en cas de perte ou de vol de données à caractère personnel.

‍

Pays tiers Un pays tiers est un pays qui n'est pas lié par le règlement général sur la protection des données (RGPD)

‍

Tiers Personne physique ou morale, autorité publique, agence ou organisme, autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données.

‍

Données relatives au trafic Les données relatives au trafic, générées par les fournisseurs de communications électroniques et/ou traitées par eux, relèvent du champ d'application du GDPR. Il peut s'agir, entre autres, d'adresses IP, d'activités de navigation sur des sites web et de métadonnées relatives aux communications. En vertu du GDPR, toute organisation qui traite les données personnelles des citoyens de l'UE doit prendre des mesures pour protéger ces données contre l'accès accidentel ou non autorisé, la destruction, l'altération ou l'utilisation non autorisée. Elle doit également s'assurer que les données sont exactes et à jour, et qu'elles ne sont utilisées qu'aux fins pour lesquelles elles ont été collectées. Enfin, ils doivent prendre des mesures pour s'assurer que les personnes ont le droit d'accéder à leurs propres données à caractère personnel et d'exercer leurs droits en vertu du GDPR.

‍

‍