glossaire & BASE DE CONNAISSANCES

Anonymisation

Opération transformant de manière irréversible des données personnelles, dans l’optique de ne plus permettre l’identification de la personne. Il n’est plus possible post-opération, de rattacher les données anonymisées à la personne d’origine, c’est-à-dire de les réidentifiées après traitement. Il s’agit donc d’un Procédé irréversible, avec impossibilité de désanonymiser les données.

L’anonymisation permet de sortir des obligations de conformité des données personnelles au RGPD (consid 26), et de conserver lesdites données anonymisées, sans limite de temps (sauf si une copie non anonymisée est conservée).

Il est souvent impossible pour les entreprises d’anonymiser complètement les données pour le bon fonctionnement des traitements mis en œuvre. Il est alors incontournable d’exploiter la pseudonymisation des données.

Accountability

Le RGPD supprime (sauf cas exceptionnels), les déclarations préalables de constitution de fichiers de DCP auprès de la cnil (dites formalités préalables – Directive 95/46/CE). Selon cette notion, une entreprise est responsable des événements qui se produisent et est tenue de pouvoir justifier les actions réalisées, et donc d’être comptable de son action de conformité. On passe donc d’un principe de déclaration, à un principe de responsabilité.  

L’Accountability est donc l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données (conformité), et de conserver les traces des  actions entreprises, dans l’optique de démontrer sa conformité.

Archivage des données

Ensemble des modalités de conservation et gestion d’archives électroniques contenant des données à caractère personnel destinées à garantir leur valeur, notamment juridique, pendant toute la durée nécessaire (versement, stockage, migration, accessibilité, élimination, politique d’archivage, protection de la confidentialité, etc.).

CEPD

Le CEPD ou Comité Européen de Protection des Données, dispose de pouvoirs contraignants, notamment pour les traitements transeuropéens mis en œuvre par un RT dans plusieurs états de l’UE. Il est l’autorité finale qui arbitre et donne un avis définitif, en cas de contradiction entre cnil.

Statut particuliers pour les traitements transnationaux (un traitement unique effectué dans plusieurs pays, toutes les autorités nationales sont compétentes). Le RT peut choisir l’autorité nationale compétente dite Autorité référente ou chef de file. 

Le CEPD surveille et garanti la bonne application du RGPD ; conseille la Commission sur toute question relative à la protection des DCP ; conseille la Commission, en ce qui concerne les règles d’entreprise contraignantes, l’échange d’informations entre les RT/ST/autorités, et procédures ; publie des lignes directrices, des recommandations et des bonnes pratiques ; examine toute question portant sur l’application du RGPD ; procède à l’agrément des organismes de certification et à leur examen ; rend à la Commission un avis en ce qui concerne l’évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale; émet des avis sur les projets de décisions des autorités de contrôle ; Incite à la coopération et l’échange bilatéral et multilatéral d’informations et de bonnes pratiques, élabore des programmes de formation conjoints, facilite les échanges de personnel entre autorités.

Chiffrement des données

Mesure visant à rendre les données à caractère personnel incompréhensibles à toute personne non autorisée à y avoir accès (chiffrement symétrique ou asymétrique, utilisation d’algorithmes publics réputés forts, certificat d’authentification, etc.). 

Il convient  :

d’utiliser pour AES des clés de chiffrement de 128 bits. Utiliser pour les algorithmes basés sur RSA des modules et exposants secrets d’au moins 2048 bits ou 3072 bits ; d’utiliser pour les exposants secrets pour le chiffrement supérieurs à 65536 ; de protéger les clés secrètes ; de rédiger une procédure de gestion des clés et certificats ; d’utiliser un algorithme reconnu :

• hachage : SHA-256, SHA-512, SHA-341
• stockage de mots de passe : HMAC utilisant SHA-256, bcrypt, scrypt ou PBKDF2
• chiffrement symétrique : AES, AES-CBC
• chiffrement asymétrique : RSA-OAEP (PKCS#1 v2.1)
• signatures : RSA-SSA-PSS (PKCS#1 v2.1)

Cloisonnement des données

Action visant à réduire la possibilité de corréler des données à caractère personnel et de provoquer une violation de l’ensemble des données (identifier les données propres à chaque métier, les séparer logiquement, etc.).   

Consentement

Le consentement est une des 6 bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données à caractère personnel. Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque et conforme aux conditions définies aux articles 4 et 7 du RGPD. Le consentement est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques (Ex : prospection commerciale par emailing).

4 CRITERES CUMULATIFS DE VALIDITE

1. Libre : consentement non contraint et non influencé

La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. « Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service. »

2. Spécifique : consentement pour une finalité déterminée

Si un traitement concerne plusieurs finalités, les personnes doivent pouvoir consentir indépendamment et librement pour une ou plusieurs finalités.

3. Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant son consentement :

3. L’identité du responsable du traitement ; les finalités poursuivies ; les catégories de données collectées ; l’existence d’un droit de retrait du consentement ; L’existence éventuelle d’un traitement avec décision individuelle automatisée ou d’un envoi en pays-tiers.

Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs, et ce sans ambiguïté, quant à l’expression du consentement.

Modalités de recueil du consentement non valides : les cases pré-cochées ou pré-activées ; les consentements « groupés »  où un seul consentement est demandé pour plusieurs traitements distincts ; l’inaction : non réponse à un mail de demande de consentement.

Data Stream Management System (DSMS)

Un système de gestion de flux de données est un ensemble de programmes qui a pour fonction la gestion et l’interrogation des données dans un flux de données continu. Il est en capacité d’effectuer des requêtes sur le flux de données en continu. Ces dernières sont donc modifiées dès que de nouvelles données arrivent dans ledit flux.

Donnée à caractère personnel

Une Donnée à caractère personnel se défini comme tout élément permettant d’identifier directement ou indirectement une personne physique. Il existe 3 familles de Données à caractère personnel : 

1. Les données courantes

État-civil, identité, données d’identification
Vie personnelle (habitudes de vie, situation familiale, hors données sensibles ou dangereuses…)
Vie professionnelle (CV, scolarité formation professionnelle, distinctions…)
Informations d’ordre économique et financier (revenus, situation financière, situation fiscale…)
Données de connexion (adresses IP, journaux d’événements…)
Données de localisation (déplacements, données GPS, GSM…)

2. Les données perçues comme sensibles

Numéro de sécurité sociale (NIR)
Données biométriques
Données bancaires

3. Les données sensibles

Opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciales ou ethniques, relatives à la santé ou à la vie sexuelle
Infractions, condamnations, mesures de sécurité

DPO (Data Privacy Officer)

-Le DPO ou DPD pour Délégué à la Protection des Données est le pilote de la conformité au RGPD dans l’organisme.

Il informe et conseille le RT et les collaborateurs ; assiste les décideurs sur les conséquences des traitements des données à caractère personnel ; réalise l’inventaire ; conçoit les actions de sensibilisation du personnel ; pilote en continu la conformité ; est le point d’entrée, et l’intermédiaire des autorités de contrôle ; bénéficie d’une totale indépendance et impartialité.

L’article 38 du RGPD, Fonction du délégué à la protection des données du RGPD, stipule que « le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel ».

L’alinéa 5 de l’article 37, Désignation du délégué à la protection des données, stipule que le DPO est « désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Le Délégué à la Protection des Données peut-être interne à l’organisme ou externe. On parle alors de DPO externalisé. 360 OBJETS propose ce type de solutions pour aider les entreprises à se conforme à leurs obligations en disposant d’un DPO mise à disposition. Découvre nos solutions.

Droit à la portabilité des données

Une personne physique à le droit de demander à un Responsable de traitement la portabilité standardisée des données à caractère personnel, pour les recevoir ou les transmettre à un nouvel Responsable de traitement, « dans un format structuré, couramment utilisé et lisible par la machine ».

Droit d’accès

La personne a le droit d’obtenir la confirmation que ses DCP sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données, ainsi que les informations suivantes : les finalités du traitement ; les catégories de DCP concernées ; les destinataires auxquels les DCP ont été, ou seront communiquées ; la durée de conservation des DCP ; l’existence du droit à la rectification ou l’effacement de données ; l’existence du droit de demander la limitation/opposition au traitement ; le droit d’introduire une réclamation auprès d’une autorité de contrôle ; toute info quant à la source des DCP, si collecte indirecte ; l’existence d’une prise de décision automatisée (importance et conséquences) ; le droit d’être informée des garanties appropriées, si transfert DCP pays tiers ; une copie des DCP faisant l’objet d’un traitement.

Exactitude des données

La CNIL impose « des informations collectées et enregistrées qui doivent être pertinentes et strictement nécessaires à l’objectif poursuivi par votre fichier ».

La CNIL précise que « les données de votre fichier ne doivent servir que pour les finalités définies au moment de leur collecte. Il s’agit de ne collecter que ce dont vous avez strictement besoin pour répondre à l’objectif défini »

« Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées »

Information des personnes sur le traitement de données personnelles

Il s’agit ici d’être conforme à l’article 32 de la loi informatique et libertés et les articles 12, 13 et 14 du Règlement général sur la protection des données (RGPD) ; garantir l’information des personnes et donc éviter la collecte de données à leur insu ; vérifier que le traitement ne fait pas l’objet d’une exception ou de conditions particulières mentionnées dans l’article 32 de la loi informatique et libertés (utilisateur des réseaux de communication électronique, statistiques, anonymisation, sûreté de l’État, défense, sécurité publique, exécution de condamnations pénales, mesures de sûreté, prévention, recherche, constatation ou poursuite d’infractions pénales).notion de Finalité du traitement correspond à l’objectifs poursuivi pour un traitement de données. Il est central puisqu’il s’agit de la finalité dudit traitement sur des DCP mis en œuvre par le Responsable de traitement.

Finalité du traitement

La notion de Finalité du traitement correspond à l’objectifs poursuivi pour un traitement de données. Il est central puisqu’il s’agit de la finalité dudit traitement sur des DCP mis en œuvre par le Responsable de traitement.

Licéité du traitement

Un traitement de données personnelle doit être licite, c’est à dire avoir une base légale lui permettant d’être mise en œuvre. Il s’agit d’une des 6 conditions suivantes :

1. la personne concernée a consenti au traitement de ses DCP pour une ou plusieurs finalités spécifiques (consentement).

2. le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie.

3. le traitement est nécessaire au respect d’une obligation légale du Responsable de Traitement.

4. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne.

5. le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique du Responsable de Traitement.

6. le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le Responsable de Traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des DCP, notamment lorsque la personne concernée est un enfant.

Limitation des finalités

La personne concernée par une collecte de données dans le cadre d’un traitement, est « informée de la finalité qui est de protéger les biens matériels et immatériels de l’entreprise et sa propre sécurité physique (risque d’exposition aux radiations par exemple, localisation pour faciliter l’évacuation en cas d’incident) ».

A contrario, une finalité illégitime serait par exemple le « contrôle d’accès aux lieux de pause et d’aisance » pour des raisons évidentes de contrôle illégal.

PIA / EIVP / AIVP

L’acronyme « PIA » est utilisé pour désigner indifféremment Privacy Impact Assessment, étude d’impact sur la vie privée (EIVP), analyse d’impact relative à la protection des données, et Data Protection Impact Assessment (DPIA).

Privacy / Vie Privée

Le terme “Privacy” ou “vie privée » évoque l’ensemble des libertés et droits fondamentaux (notamment ceux évoqués dans le [RGPD], par les articles 7 et 8 de la [Charte-UE] et l’article 1 de la [Loi-I&L] : « vie privée, identité humaine, droits de l’homme et libertés individuelles ou publiques »).

Pseudonymisation

Technique visant à remplacer un identifiant ou des DCP par un pseudonyme. Opération rendant les données personnelles illisibles, tout en permettant de retrouver, de manière directe ou indirecte, la personne d’origine.

La pseudonymisation réduit le risque, car seules les données et le mécanisme de lever du pseudonymat, doivent faire l’objet d’une sécurisation accrue. L’opération étant réversible, l’obligation de conformité au RGPD s’applique sur les données pseudonymisées.

Privacy by Design & Privacy by default

Principe imposant aux Responsables de Traitements d’intégrer les principes du RGPD dès la conception d’un projet ou d’un service utilisant des DCP. Mesure préventive ayant pour finalité la minimisation des risques d’abus par les Responsables de Traitements, et la violation des données à caractère personnel des clients et utilisateurs.

Les grands principes : Conception de mesures préventives et proactives (prévoir les sources et scénarios possibles de violations de DCP) ; Protection par défaut > Privacy by default (l’ensemble des DCP traité doit être protégé) ; Prise en compte des règles sur la protection de la vie privée dès la phase de conception et durant tout le cycle de vie du traitement (inclus dans le design) ; Protection optimale et intégrale (dite « full-fonctionnality ») ; Sécurité tout au long de la conservation des DCP (dite « sécurité end-to-end », nécessitant un chiffrement de bout en bout et une information aux utilisateurs) ; Visibilité et transparence (information utilisateurs en rendant disponible une documentation et en fournissant des points de contact ; Respect de la vie privée (dite « Privacy»).

Responsable de traitement

Le Responsable de Traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

On peut donc définir ce terme comme toute entreprise, organisme ou autorité qui collecte, conserve et/ou traite des DCP. Les entreprises BtoB échappent que rarement à l’obligation de conformité puisque, dès lors qu’elle embauchent des salariés, elles traitent des DCP (Exemple : des données du personnel pour l’établissement de fiches de paies, des données inhérentes à des badges d’ouvertures de locaux avec fichage d’horaires d’entrées et de sorties, ou géolocalisation de camions ou de voitures du personnel pour du transport de marchandises).

Sécurisation des données personnelles

Les Responsables de Traitement et les Sous-traitants mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque : la pseudonymisation et le chiffrement des DCP ; des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; des moyens permettant de rétablir la disponibilité des DCP et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures de sécurisation.

Il convient de toujours adopter une approche par les risques : évaluer le niveau de sensibilité de chaque traitement, et mettre en œuvre les renforcements.

Lors de l’évaluation du niveau de sécurité, il est tenu compte en particulier des risques que présente le traitement. L’application d’un code de conduite ou d’une certification approuvé peut servir d’élément pour démontrer le respect des exigences. Les Responsables de Traitement et les Sous-traitants prennent des mesures afin de garantir que toute personne physique ayant accès aux DCP et agissant sous leur autorité, ne les traite pas, excepté sur instruction du Responsable de Traitement, à moins d’y être obligée par un droit.

Sous-traitant

Le traitement n’est effectué que par des Sous-Traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce qu’il réponde aux exigences du RGPD et garantisse la protection des droits des personnes.

Le Sous-Traitant ne recrute pas un autre Sous-Traitant sans une autorisation écrite préalable, spécifique ou générale, du Responsable de Traitement.

Prévoir un contrat/acte juridique, qui lie le Sous-Traitant à l’égard du Responsable de Traitement qui définit : l’objet, la nature, la finalité et la durée du traitement ; le type de Donnée à caractère personnel ; les catégories de personnes concernées ; les obligations et les droits du Responsable de Traitement.

Violation de données personnelles

Pour la CNIL, Il s’agit d’ une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

Notification d’une violation de données personnelles

Notification à l’autorité de contrôle d’une violation de DCP (art 33). Le RT notifie 72 heures au plus tard après avoir pris connaissance de la violation. Exception : si pas de risque pour les droits et libertés des personnes physiques.
Si délais > 72H : motifs du retard. Le ST notifie au RT toute violation de DCP dans les meilleurs délais. La notification doit : décrire la nature de la violation de DCP y compris les catégories et le nombre de personnes et d’enregistrements concernés ; communiquer le nom et les coordonnées du DPO pour infos complémentaires ; décrire les conséquences probables de la violation ; décrire les mesures prises ou proposées pour remédier à la violation ou en atténuer les éventuelles conséquences négatives ; documenter la violation en indiquant les faits, ses effets et les mesures prises.