Le RGPD, le Privacy by Design, DPO… des termes que vous entendez régulièrement sans réellement savoir de quoi il s’agit ! Data Legal Drive a créé le lexique du RGPD pour vous aider à mieux comprendre les acronymes et le vocabulaire en lien avec la protection des données personnelles.
RGPD
Le RGPD, c’est le Règlement Général sur la Protection des Données. Publié en 2016 et entré en application en 2018, le RGPD est une règlementation européenne qui encadre la protection des données personnelles. Il s’adresse à l’ensemble des organismes européens (et internationaux dès lors qu’ils utilisent des données de résidents européens). Découvrez notre dossier complet sur le RGPD pour en savoir plus.
DPO
Le DPO, abréviation de Data Protection Officer, est le Délégué à la Protection des Données : il est le chef d’orchestre de la protection des données personnelles au sein d’une structure. Nommer un DPO, externe ou interne, n’est obligatoire que sous certaines conditions. Data Legal Drive vous explique tout sur le rôle et sur les missions du DPO et si ce métier vous intéresse découvrez comment devenir DPO.
CNIL
La CNIL est la Commission Nationale de l’Informatique et des Libertés. En résumé, c’est l’autorité de contrôle qui s’assure du bon respect du RGPD en France. Il existe des équivalents dans les autres pays européens afin d’encadrer le respect du RGPD.
GDPR
C’est tout simplement… RGPD mais en anglais : General Data Protection Regulation.
Donnée personnelle
Les données personnelles sont l’ensemble des informations qui concernent une personne et qui peuvent permettre de l’identifier. La donnée peut être directement identifiante (prénom et nom) ou indirectement (numéro de sécurité sociale, adresse postale…). Les entreprises ont l’obligation de recenser les traitements de données qu’elles effectuent et de les encadrer.
Donnée sensible
Une donnée sensible est une donnée personnelle qui permet d’identifier l’origine raciale ou ethnique, la religion, les convictions politiques ou encore les données génétiques ou de santé d’une personne concernée. Collecter et traiter ces données doit être strictement encadré.
Demande d’exercice de droits
Une demande d’exercice de droits peut être effectuée par n’importe quelle personne dont les données personnelles sont traitées par votre organisme : client, salarié, administré, prestataire, prospect, partenaire, etc. La personne peut par exemple, à tout moment, demander une copie de ses données que vous détenez, en demander la rectification ou la suppression. Lorsqu’une personne concernée exerce un droit, l’organisme doit le prendre en compte, et y répondre dans la limite des délais légaux.
Traitement de données personnelles
Le traitement de données personnelles est défini par toutes les actions qui peuvent être menées sur une donnée personnelle. Il peut s’agir de la collecte, de l’utilisation mais aussi de la consultation ou de l’effacement de la donnée, par exemple. Découvrez toutes les opérations qui peuvent être considérées comme un traitement de données personnelles.
Registre des traitements
Le Registre des traitements est le socle de votre conformité RGPD. Il est obligatoire d’en tenir un selon l’article 30 du RGPD. Il est le support qui vous permet de visualiser et piloter l’ensemble de vos traitements et de définir les risques associés, les finalités, la base légale sur laquelle ils s’appuient, la durée de conservation des données, etc. Le format n’est pas défini par le RGPD mais Data Legal Drive vous permet de créer vos registres des traitements facilement grâce à l’outil intégré et des dizaines de registres pré-paramétrés selon votre secteur d’activité.
Constituer son registre des traitements est la pierre angulaire de votre conformité au RGPD.
Cartographie des traitements
La cartographie des traitements est essentielle pour bien répertorier vos traitements et construire vos registres des traitements. Elle vous permet de recenser les données personnelles traitées par votre organisme et d’avoir ainsi une vision globale de ces données et leurs utilisations. C’est à partir de votre cartographie des traitements que vous pourrez obtenir votre score de conformité au RGPD et identifier les points d’amélioration sur lesquels travailler. C’est donc un indispensable à réaliser lors de votre mise en conformité.
Finalité d’un traitement
La finalité d’un traitement est tout simplement la définition de l’objectif lié à une collecte ou un traitement de données. Il est primordial de dessiner les contours de la collecte et de l’utilisation des données et surtout de ne pas traiter des données sans qu’une finalité soit déterminée.
Responsable de traitement
Le responsable de traitement est l’entité ou la personne qui définit les finalités et moyens d’un traitement. Il est responsable de l’encadrement de la collecte et l’utilisation des données. Il est en charge de gérer le respect du RGPD au sein de l’entité mais aussi auprès des partenaires, prestataires et sous-traitants.
Sous-traitant
Le sous-traitant est un tiers qui réalise en intégralité ou partiellement un ou des traitement(s) de données personnelles au nom et pour le compte du responsable de traitement. Il est donc tenu de garantir la bonne gestion et la mise en place de mesures appropriées pour protéger les données selon les instructions du responsable de traitement. Le RGPD et son article 28 obligent l’organisme responsable de traitement à reporter sur son sous-traitant une partie des obligations de protection des données qui le concernent.
PIA ou Analyse d’impact
Un PIA est un Privacy Impact Assessment (ou Analyse d’Impact sur la Protection des Données ou AIPD). C’est un outil au service de votre conformité RGPD qui vous permet d’analyser les risques et les éventuelles impacts liés à vos traitements de données personnelles et de garantir la sécurité des données collectées. L’exercice peut sembler fastidieux mais Data Legal Drive intègre un module d’analyse d’impact dans son logiciel, interopérable avec les outils de la CNIL.
Privacy by Design
La conformité au RGPD doit être une démarche durable, ancrée dans les procédures de chacune des équipes. il est important que vos projets suivent une démarche de Privacy by Design : La protection des données et le respect des principes du RGPD doivent être pris en compte dès la conception du projet, ce pour tous les types de projets : opération marketing, process RH, nouveau logiciel, etc. Dans l’outil Data Legal Drive, retrouvez un workflow complet pour vous aider à définir les bases de votre projet et collaborez avec les porteurs de projets….
Accountability
Le principe d’accountability est un élément essentiel du RGPD : tout organisme qui traite des données personnelles doit être en mesure de justifier de son respect du RGPD aux autorités en charge : dans le cas de la France, la CNIL.
Violation de données
Une violation de données est un incident compromettant la sécurité des données personnelles détenues par un organisme. Il peut être intentionnel, malveillant mais pas nécessairement ! Le piratage informatique peut être une violation de données personnelles au même titre que la perte de la clé USB d’un collaborateur contenant des données. Il est obligatoire de les répertorier dans un registre et dans certains cas, de les notifier à l’autorité et d’en informer les personnes concernées.