Skip to Main Content

Protection des données

Sites

Définitions

  • Analyse d'impact relative à la protection des données (AIPD) : selon le type de traitement et en cas de risque élevé pour les droits et libertés des personnes concernées, une analyse de l’impact des traitements envisagés doit être menée par le responsable du traitement. L'analyse d'impact est un processus qui doit contenir la description du traitement, ses finalités, une évaluation de la nécessité et de la proportionnalité du traitement, une évaluation  des risques pour les droits et libertés des personnes concernées, et les mesures nécessaires pour y faire face.Ce processus vise à assurer la conformité aux RGPD et à en apporter la preuve.Il n'est pas un document public mais la publication par le resonsable du tratiement d'un résumé ou des conclusions sont possibles en matière de bonne pratique.
  • Collecte de données : action d'obtenir des données, quels qu'en soient les moyens (y compris l'achat), l'objectif et la personne auprès de laquelle elles sont recueillies.
  • Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
  • Délégué à la protection des données : personne physique responsable de la bonne application du RGPD dans l’entreprise.

    Il a un rôle de conseil, support, formation, information et de contrôle de la conformité dans l’entreprise. En Suisse, on parle de "conseiller à la protection des données"

  • Donnée à caractère personnel : toute information relative à une personne physique identifiée ou identifiable. « Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, une adresse e-mail, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.» RGPD (UE) no 2016/679, art. 4. La jurisprudence actuelle indique que les juges font une interprétation très large de la notion de données à caractère personnel (par exemple des réponses écrites lors d’un examen et les annotations de professeurs ont été considérées comme des données à caractère personnel). Les données de personnes décédées ne rentrent pas dans le champ d’application du RGPD. Une adresse email professionnelle est une donnée à caractère personnel. Le RGPD s’applique aux données à caractère personnel disponibles sur tout support y compris le papier.

  • Délégué à la protection des données : personne physique responsable de la bonne application du RGPD dans l’entreprise.Il a un rôle de conseil, support, formation, information et de contrôle de la conformité dans l’entreprise.

  • Donnée sensible : donnée personnelle qui porte sur l'origine raciale, les opinions politiques, la confession religieuse, les données génétiques, les données de santé, l'orientation sexuelle ...(la collecte et le traitement de données sensibles sont interdits sauf dispositions légales expresses).Il ne faut pas confondre les données sensibles au sens du RGPD et les données sensibles pour l’entreprise : données financières, dossiers délicats, etc
  • DPA (Data processing agreement) : accord qui définit le cadre juridique dans lequel le sous-traitant traite les données des clients et les données personnelles. Le DPA est un addendum ou une annexe au contrat de service principal (MSA) entre le sous-traitant et le client.
  • Droit à la portabilité : les données doivent être conservées dans un format "structuré, couramment utilisé et lisible par machine" pour permettre leur réutilisations
  • Droit à l'oubli : droit à l'effacement des données personnelles
  • Droit d'accès : tout individu a le droit de savoir quelles informations une entreprise possède sur son compte
  • Droit d'opposition (à l'utilisation et au traitement des données) : droit de ne plus être sollicité par une entreprise
  • Fichier : ensemble structuré de données à caractère personnel accessibles selon des critères déterminés.
  • Personne concernée :Toute personne physique identifiable ou identifiée dont les données à caractère personnel sont traitées par le responsable du traitementLa personne concernée possède des droits que le RGPD a élargis dans une optique de renforcement de la protection de la vie privé.
  • Profilage : traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique (par exemple pour analyser le rendement au travail, la santé, le comportement ...)
  • Registre (des activités de traitement) : le registre des activités de traitement est un document interne à l’entreprise qui répertorie un ensemble d’informations: le nom du responsable du traitement, les finalités du traitement, la base légale sur laquelle s’appuie le traitement, une liste des données récoltées, les délais prévus pour la conservation des données, les destinataires internes et externes des données, les éventuels transferts hors UEet une description des mesures de sécurité.

  • Responsable du traitement : personne physique ou morale, autorité publique, service ou autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités (pourquoi ?) et les moyens (comment ?) du traitement de données à caractère personnel. En Suisse dans la loi actuelle on parle de "maître de fichier"

  • Sous-traitant : personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Selon le RGPD, le sous-traitant a les mêmes obligations que le responsable du traitement en ce qui concerne le respect du règlement et il est également soumis aux obligations demandées par le responsable du traitement.

  • Traitement de données : toute opération qui porte sur les données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, structuration, conservation, transmission, adaptation, modification, extraction, utilisation, communication,diffusion, consultation, effacement, destruction ...). Exemple de traitement : paiement des salaires, publication d'une photo de personne sur un site internet, utilisation d'une base de données de contact.