Glossaire RGPD
Les termes essentiels expliqués simplement.
- RGPD
- Règlement Général sur la Protection des Données. Texte européen (Règlement UE 2016/679) en vigueur depuis le 25 mai 2018, qui encadre le traitement des données personnelles.
- Donnée personnelle
- Toute information se rapportant à une personne physique identifiée ou identifiable (nom, email, IP, numéro client, photo…).
- Donnée sensible
- Catégorie particulière : santé, origine ethnique, opinions politiques, religion, orientation sexuelle, biométrie, génétique, condamnations. Traitement par principe interdit, sauf exception.
- Responsable de traitement
- Personne ou organisme qui détermine les finalités et les moyens du traitement. C'est souvent l'entreprise elle-même.
- Sous-traitant
- Tiers qui traite des données pour le compte du responsable (hébergeur, outil SaaS, agence). Encadré par un contrat (DPA / art. 28 RGPD).
- DPO
- Délégué à la Protection des Données. Personne désignée pour conseiller, contrôler et faire le lien avec la CNIL. Obligatoire dans certains cas (autorité publique, suivi à grande échelle…).
- PIA / AIPD
- Analyse d'Impact relative à la Protection des Données. Étude obligatoire avant un traitement susceptible d'engendrer un risque élevé pour les personnes.
- Base légale
- Fondement juridique d'un traitement, parmi 6 possibles : consentement, contrat, obligation légale, intérêt vital, mission de service public, intérêt légitime.
- Consentement
- Manifestation de volonté libre, spécifique, éclairée et univoque. Doit pouvoir être retiré aussi facilement qu'il a été donné.
- Registre des traitements
- Document obligatoire (art. 30 RGPD) qui liste tous les traitements de l'organisme : finalités, données, durées, destinataires, mesures de sécurité.
- Droit d'accès
- Droit pour toute personne d'obtenir confirmation que ses données sont traitées et d'en recevoir une copie (art. 15).
- Droit à l'effacement
- Aussi appelé droit à l'oubli : obtenir la suppression de ses données dans certains cas (art. 17).
- Droit à la portabilité
- Recevoir ses données dans un format structuré et lisible par machine, et les transmettre à un autre responsable (art. 20).
- Violation de données
- Incident de sécurité entraînant destruction, perte, altération, divulgation ou accès non autorisé. À notifier à la CNIL sous 72h si risque pour les personnes (art. 33).
- Pseudonymisation
- Traitement qui empêche d'attribuer les données à une personne sans informations supplémentaires conservées séparément. ≠ anonymisation (irréversible).
- Anonymisation
- Processus irréversible empêchant toute ré-identification. Les données anonymisées sortent du champ du RGPD.
- Transfert hors UE
- Envoi de données vers un pays tiers. Encadré (clauses contractuelles types, décision d'adéquation, BCR…). USA : DPF en vigueur depuis juillet 2023.
- Privacy by design
- Principe d'intégrer la protection des données dès la conception d'un produit ou service (art. 25).
- CNIL
- Commission Nationale de l'Informatique et des Libertés. Autorité de contrôle française du RGPD, peut sanctionner jusqu'à 4% du CA mondial.