Article 4

Définitions

Aux fins du présent règlement, on entend par:

(1)

«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

(2)

«traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;

(3)

«limitation du traitement», le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;

(4)

«profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;

(5)

«pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

(6)

«fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

(7)

«responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre;

(8)

«sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

(9)

«destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;

(10)

«tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;

(11)

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

(12)

«violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;

(13)

«données génétiques», les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question;

(14)

«données biométriques», les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

(15)

«données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne;

(16)

«établissement principal»,

(a)

en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal;

(b)

en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union ou, si ce sous-traitant ne dispose pas d’une administration centrale dans l’Union, l’établissement du sous-traitant dans l’Union où se déroule l’essentiel des activités de traitement effectuées dans le cadre des activités d’un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;

(17)

«représentant», une personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement;

(18)

«entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

(19)

«groupe d’entreprises», une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle;

(20)

«règles d’entreprise contraignantes», les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe;

(21)

«autorité de contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51;

(22)

«autorité de contrôle concernée», une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que:

(a)

le responsable du traitement ou le sous-traitant est établi sur le territoire de l’État membre dont cette autorité de contrôle relève;

(b)

des personnes concernées résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être; ou

(c)

une réclamation a été introduite auprès de cette autorité de contrôle;

(23)

«traitement transfrontalier»,

(a)

un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou

(b)

un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres;

(24)

«objection pertinente et motivée», une objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l’Union;

(25)

«service de la société de l’information», un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (19);

(26)

«organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord.

Qu'est-ce que ça veut dire?

Un cookie est un fichier texte qui permet de stocker ou de consulter des informations sur l’appareil de l’utilisateur et parfois de collecter des données sur l’utilisateur.

La publicité basée sur le comportement des utilisateurs implique souvent le traitement de données personnelles.

La publicité comportementale implique généralement la gestion des adresses IP et le traitement d’identifiants uniques via le cookie.

Les informations contenues dans le contexte de la publicité comportementale concernent les caractéristiques ou le comportement d’un individu et sont utilisées pour influencer cet individu en particulier. Ces informations pourront être reliées aux informations directement identifiables personnellement fournies par la personne concernée.

Il s’agit d’une liste des différents types de données personnelles qu’une organisation traite et des objectifs pour lesquels les données sont traitées. Cela est similaire aux registres des activités de traitement que les organisations sont tenues de conserver en vertu de l’article 30 du RGPD.

Une entreprise doit avoir des politiques de conservation des données qui précisent comment l’organisation doit conserver les données personnelles et quand elle doit les supprimer.

La minimisation des données est l’un des principes décrits à l’article 5, qui stipule que les données à caractère personnel ne doivent être collectées et traitées que dans la mesure nécessaire à la réalisation de leur finalité spécifique.

La cartographie des données consiste à identifier et à documenter le flux des données personnelles au sein d’une organisation et les relations entre les différentes activités de traitement des données. Il s’agit d’un processus nécessaire pour tenir les registres requis des activités de traitement.

La classification des données permet de classer les données en fonction de leur sensibilité et du niveau de protection dont elles ont besoin. Cela fait partie intégrante des registres des activités de traitement et est particulièrement important pour créer des évaluations des risques.

La sécurité des informations consiste à mettre en place des mesures pour protéger les informations contre tout accès, utilisation, divulgation ou destruction non autorisés. La sécurité de l’information est un domaine de la sécurité informatique, et les règles du RGPD font partie de la sécurité de l’information d’une entreprise.

La plupart des entreprises sont tenues de mettre en place des politiques de protection des données. Il s’agit d’un ensemble de lignes directrices qui décrivent l’approche d’une organisation en matière de protection des données et définissent les mesures mises en place pour protéger les données personnelles.

Une technologie de protection de la vie privée minimise la collecte et le traitement des données personnelles ou rend plus difficile l’identification des personnes à partir de leurs données.

Une personne concernée est une personne au sujet de laquelle des données à caractère personnel sont traitées. Une entreprise enregistre généralement des informations sur ses clients et ses employés, qui sont donc des “personnes concernées” dans le contexte du RGPD.

Les registres des activités de traitement cartographient les processus de traitement des données personnelles par l’entreprise. Il existe des exigences spécifiques pour cet enregistrement des activités de traitement, qui sont décrites à l’article 30.

En vertu de la loi, toute personne qui traite des données personnelles doit faire mettre à jour et tenir à jour ce registre des activités de traitement.

Une évaluation des risques identifie et évalue les risques potentiels pour la vie privée des personnes.

Les organisations doivent procéder à une évaluation des risques lorsqu’elles traitent des données personnelles afin d’identifier et d’atténuer tout risque éventuel pour la vie privée des personnes.

L’évaluation des risques doit prendre en compte les menaces potentielles pour la vie privée des personnes.

L’évaluation doit inclure les types de données personnelles et les objectifs pour lesquels les données sont traitées.

L’évaluation des risques doit être effectuée régulièrement, revue et mise à jour si nécessaire.

Les organisations doivent également documenter les résultats de leur évaluation des risques, y compris toutes les mesures qu’elles ont prises pour atténuer les risques identifiés. Cela permettra de démontrer la conformité avec le RGPD.

L’anonymisation est le processus qui consiste à rendre les données anonymes en supprimant ou en masquant toute information utilisée pour identifier les personnes. Il devrait être impossible d’identifier la personne concernée après l’anonymisation.

L’analyse d’impact est une version étendue de l’analyse des risques.

Elle doit être effectuée si une évaluation des risques montre que le traitement des données personnelles comporte un risque élevé. Le RGPD contient des exigences particulières concernant la réalisation d’une analyse d’impact.

Un responsable du traitement doit convenir avec son sous-traitant de la manière dont les données personnelles sont traitées. Cet accord doit décrire les conditions relatives à la sécurité du traitement des données du responsable du traitement sous-traitant par le sous-traitant.

Le responsable du traitement doit être en mesure de documenter cet accord et de prouver qu’il est conforme au RGPD. Par conséquent, le responsable du traitement doit également contrôler le respect de cet accord par le sous-traitant.

Le RGPD décrit sept principes de traitement rationnel des données. Ces principes donnent un aperçu de la manière dont les données personnelles doivent être traitées. Vous trouverez ces principes à l’article 5 du RGPD.

Le RGPD concerne essentiellement la sécurité des informations.

La sécurité de l’information est une discipline pluridisciplinaire impliquant les technologies de l’information, le droit et les processus d’entreprise, qui vise à protéger les informations, qui peuvent par exemple se trouver dans des logiciels et du matériel.

La discipline vise à sécuriser les informations, afin qu’elles ne soient pas compromises, c’est-à-dire que les personnes non autorisées ne doivent pas pouvoir accéder aux informations, les données doivent être exactes et les données doivent être disponibles en cas de besoin.

La préservation de la confidentialité, de l’intégrité et de la disponibilité de vos informations peut empêcher qu’elles ne soient compromises.

La confidentialité fait partie de la triade de sécurité de l’information CIA (Confidentialité, Intégrité et Disponibilité), qui garantit que les informations sensibles ne sont accessibles qu’aux personnes autorisées à les consulter ou à les utiliser. Les contrôles tels que les mots de passe, l’authentification et les autorisations sont des outils permettant de limiter l’accès aux données aux utilisateurs prévus.

L’intégrité fait partie de la triade de sécurité de l’information CIA (Confidentialité, Intégrité et Disponibilité). Vous devez maintenir l’intégrité des données afin que personne ne puisse modifier les informations sans l’autorisation et la sécurité appropriées. Les données doivent être précises et fiables.

La disponibilité fait partie de la triade de sécurité de l’information CIA (Confidentialité, Intégrité et Disponibilité). Il s’agit de la capacité des utilisateurs autorisés à accéder à l’information en cas de besoin.

L’ingénierie sociale utilise la manipulation ou la tromperie pour inciter les personnes à divulguer des informations sensibles ou à effectuer des actions qui ne sont pas forcément dans leur intérêt. Il s’agit d’un type de cybercriminalité qui repose sur l’exploitation des émotions humaines et de la confiance plutôt que sur des vulnérabilités techniques.

La confidentialité par défaut est une protection par des paramètres par défaut.

Un exemple est une application logicielle qui protège par défaut le traitement des données personnelles. Au lieu d’activer une fonction d’identification à deux facteurs, celle-ci devrait être activée par défaut.

Le respect de la vie privée dès la conception exige que les nouveaux systèmes et processus soient conçus dès le départ en tenant compte de la protection des données. La protection des données ne doit pas être ajoutée ultérieurement, mais prise en compte dès la phase de conception.

Un délégué à la protection des données veille à ce qu’une organisation respecte les lois et règlements en matière de protection des données.

Le DPD est un point de contact entre l’organisation et l’autorité de contrôle et organise en interne les questions de protection des données.

Le RGPD exige des DPO pour des organisations spécifiques qui traitent de grandes quantités de données personnelles.

Les responsabilités d’un DPD varient en fonction de la taille et de la complexité de l’organisation et de la nature de son traitement des données à caractère personnel.

La portabilité des données est le droit des personnes concernées, selon l’article 20. Une personne concernée a le droit de recevoir une copie des données personnelles qu’elle a fournies au responsable du traitement dans un format de fichier structuré, qui pourrait être utilisé pour transférer les données à un autre fournisseur.

Le concept de portabilité des données vise à donner aux individus un plus grand contrôle sur leurs données.

Formation de sensibilisation

Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.

Discover

About