Glossaire

Cartographie des données

Réaliser une cartographie des données c’est recenser de façon précise les traitements de données personnelles que vous mettez en œuvre. La cartographie des données doit recenser : les différents traitements de données à caractère personnel, les catégories de données personnelles concernées par les traitements, les finalités des opérations de traitement de données, les différents destinataires internes (services de l’entreprise) et externes (sous-traitants) qui traitent les données personnelles en question et enfin l’origine et la destination des données, notamment s’il existe des transferts hors Union européenne.

Délégué à la Protection des Données (Data Protection Officer/DPO)

Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme. Il conseille et accompagne cet organisme dans cette mise en conformité, sa désignation est obligatoire dans certains cas.

Données à caractère personnel ou Données personnelles

Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire, une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Données sensibles

Ce sont des données à caractère personnel qui relèvent d’une catégorie particulière et qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Ces données ne doivent pas faire l’objet d’un traitement sauf dans des cas très spécifiques énumérés par le règlement.

Délégué à la Protection des Données (Data Protection Officer/DPO

Le DPO veille à la conformité des traitements de données personnelles dans l’organisme qui l’a désigné.

Il a notamment pour mission :

– De contrôler le respect par l’organisme du RGPD et du droit national concernant la protection des données personnelles ;
– D’informer et de conseiller l’organisme et ses employés ;
– De répondre aux questions et demandes des personnes concernées par les traitements de données personnelles ;
– De faire le lien entre l’organisme et la CNIL.

Droits des personnes concernées

Les personnes concernées par des traitements de données personnelles disposent de droits leur permettant de garder la maîtrise des informations les concernant et notamment des droits suivants : droit à l’information, droit d’accès à ses données, droit de rectification de ses données, droit à l’effacement de ses données, droit à la limitation du traitement de ses droits, droit à la portabilité de ses données, droit d’opposition au traitement de ses données, droit de faire valoir des directives s’agissant du sort de ses données après sa mort et droit d’intenter un recours devant une autorité de contrôle.

Droit à la limitation des traitements

Il s’agit de la possibilité de demander à ce que le traitement de données soit suspendu lorsque le traitement n’est plus justifié.

Droit à l’oubli/ Droit à l’effacement

Sous certaines conditions, la personne concernée par un traitement de données personnelles peut demander à ce que ses données soient supprimées par le responsable de traitement.

Droit d’opposition

Droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel.

Droit à la rectification

Droit d’obtenir du responsable de traitement la rectification de ses données personnelles si elles sont inexactes.

Finalité

La finalité est l’objectif principal poursuivi lors d’un traitement de données personnelles, comme l’établissement des bulletins de paie, par exemple. La finalité fixée par le responsable de traitement permet de limiter la manière et l’étendue de l’utilisation des données personnelles.

Registre des activités de traitement

Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que le responsable de traitement fait avec les données personnelles. Il permet notamment d’identifier : les parties prenantes, les catégories de données traitées, ce à quoi servent ces données, qui y accède et à qui elles sont communiquées, combien de temps les données personnelles sont conservées et comment elles sont sécurisées.

Responsable de traitement

Le responsable de traitement est la personne physique ou morale (entreprise, commune, etc.) qui détermine les finalités et les moyens d’un traitement de données personnelles, c’est-à-dire l’objectif et la façon d’y parvenir. En pratique il s’agit souvent de la personne morale incarnée par son représentant légal.

Sous-traitant

Il s’agit de la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement.

Traitement de données à caractère personnel

Toute opération, ou ensemble d’opérations, portant sur des données à caractère personnel, quel que soit le procédé utilisé : accès, collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, etc.

Violation de données

Il s’agit de tout incident de sécurité, d’origine malveillante, accidentelle, illicite ou non, et qui a pour conséquence de compromettre entre autres, l’intégrité, la confidentialité ou la disponibilité de données personnelles.