Analyse d’Impact sur la Protection des Données. Étude de risques qui doit être menée lorsqu’un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Ensemble de méthodes permettant d’exclure les données identifiantes d’une base de données afin d’empêcher toute ré-identification des personnes concernées.

Conservation en accès limité des données lorsqu’elles ne sont plus nécessaires en base active, dans un intérêt administratif pour l’organisme ou pour répondre à une obligation légale.

Activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, sur un périmètre donné, et lui apporte ses conseils pour les actions d’amélioration et leurs priorités, en s’appuyant sur une évaluation des risques.

Autorité publique indépendante qui est instituée par un État membre

Base de données accessibles dans l’environnement de travail immédiat pour les services opérationnels

La base légale d’un traitement est ce qui autorise légalement sa mise en oeuvre, ce qui
donne le droit à un organisme de traiter des données à caractère personnel. Six bases légales sont prévues par le RGPD: le consentement ; l’éxecution d’un contrat ou de mesures précontractuelles, l’obligation légale ; la sauvegarde des intérêts vitaux, l’intérêt public, l’intérêt légitime.

Les Binding Corporate Rules (BCR) constituent un code de conduite, définissant la politique d’une entreprise en matière de transferts de données personnelles. Elles permettent d’offrir une protection adéquate aux données transférées dans un ou plusieurs pays tiers au sein d’une entreprise ou d’un groupe d’entreprises engagées dans une activité économique conjointe.

Les Clauses Contractuelles Types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.

Commission Nationale Informatique et Libertés (autorité de contrôle en France)

Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. Doit être révocable à tout instant.

Les cookies sont de petits fichiers, constitués d’une suite d’informations, que certaines plateformes, comme les sites web, peuvent installer sur les ordinateurs des Internautes, via leur navigateur. Ils permettent notamment de stocker des préférences de navigation, de collecter des informations statistiques, de permettre certaines fonctionnalités techniques, etc. Les cookies sont parfois utilisés pour stocker des informations de base sur les habitudes de navigation de l’utilisateur ou de son appareil, voire pour le reconnaître notamment lorsqu’une authentification est requise.

Les cookies sont également utilisés pour gérer la session de l’utilisateur, par exemple pour adapter le contenu d’un site internet aux préférences des utilisateurs.

Personne physique ou morale, autorité publique, service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement

Données perçues comme sensibles car présentant un risque possible pour les droits et libertés des personnes ; par exemple : données relatives aux communications électroniques, données de localisation, données financières (IBAN, CB…), NIR (n° de sécurité sociale).

Toute information se rapportant à une personne physique identifiée ou identifiable (dénommée «personne concernée») directement ou indirectement.

Données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des empreintes digitales.

Données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question.

Données relatives aux condamnations pénales et aux infractions

Données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.

Donnée à caractère personnel relative aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales, à la santé et à la vie sexuelle d’une personne.

Data Protection Officer (Délégué à la Protection des Données). Personne désignée par l’organisme auprès de la CNIL pour veiller à ce que ses pratiques soient en conformité avec la réglementation en matière de protection des données.

Concerne un responsable du traitement établi dans plusieurs États membres.

Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

But poursuivi par la collecte de données. Les données doivent être collectées pour des finalités déterminées, explicites et légitimes.

Loi dite Informatique et Libertés n°78-17 du 06 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

Personne concernée par le traitement de données à caractère personnel.

Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;

La pseudonymisation est une méthode permettant de remplacer des données directement identifiantes par un attribut spécifique, un pseudonyme. La clef d’identification existe encore mais elle est conservée séparément et soumise à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable

Collaborateurs désignés en interne pour relayer les informations du DPO aux collaborateurs, les conseiller, veiller au respect des exigences de la CNIL au quotidien, appliquer le plan d’action et remonter les demandes ou incidents au DPO.

Le registre des activités de traitement permet de recenser les traitements de données personnelles d’un organisme.
Un registre est nécessaire pour les traitements de données personnelles dont l’organisme est lui-même responsable de traitement, un autre pour les traitements que cet organisme opère, en tant que sous-traitant, pour le compte de ses clients.

Personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement.

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

Le Règlement Général sur la Protection des Données (UE)nᵒ 2016/679 dit RGPD vient renforcer et harmoniser depuis mai 2018, une règlementation sur la protection des données personnelles qui était, dans de nombreux pays européens, pré-existante; en France, il s’agissait par exemple de la Loi Informatique et Libertés de 1978 modifiée.

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Personne physique ou morale, autorité publique, service ou organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

ou

b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.