Comme toute règlementation européenne, un article du RGPD est dédié à définir un certain nombre de termes. Cependant, tous ne sont pas explicitement définit et les définitions peuvent être compliquées à comprendre. Voici une sélection personnelle de termes-clé à connaitre.
Personne concernée
On commence ce petit dictionnaire par une notion très souvent utilisée dans le milieu, mais qui peut paraitre étrange vue de l’extérieure, celle de « personne concernée ». Il s’agit bien d’un seul et même terme qui nomme la personne physique a qui on traite ses données personnelles.
En anglais on parle de « data subject », et beaucoup envient ce terme car il peut faire penser à celui de « test subject » : une personne qui subit un test en laboratoire. Cela induit un certain nombre de règles professionnelles comme le fait que la personne doit être informée qu’elle participe à un test en laboratoire, mais également l’idée qu’elle n’a pas forcément la connaissance de tous les détails (le protocole de test, par exemple).
Traitement de données
Traiter des données c’est faire une opération sur des données. Cela inclut la collecte, la transformation, mais aussi le simple stockage, la diffusion et même la destruction !
Le texte cite tout cela : « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
Données personnelles
C’est la notion clé du RGPD. Une donnée à caractère personnel (donnée personnelle en plus court) est « toute information se rapportant à une personne physique identifiée ou identifiable » d’après le texte. Cette définition est assez large, on y reviendra dans la définition d’anonymisation.
Souvent, on évoque le fait que la donnée doit être reliée à une personne, mais aucune mention d’une liaison n’est présent en droit européen à l’inverse du droit américain où dans leur dernière proposition de législation il est utilisé la notion de lien dans la définition de « donnée couverte » (analogue à « donnée personnelle » du RGPD).
Données sensibles
Le RGPD prévoit des règles strictes sur le traitement de données sensibles avec son article 9. On entend pas « données sensibles » les données par exemple de santé, les données biométriques, sur les opinions politiques ou l’appartenance syndicale, la religion, la vie sexuelle ou l’origine raciale ou ethnique.
Fichier
Ce terme est une notion historique, fortement présent en droit français dans la loi informatique et libertés, qui n’est plus guère utilisé. On le retrouve tout de même dans les définitions du RGPD et dans l’article 2 sur le champ d’application matériel. Il s’agit d’un ensemble de données personnelles, par exemple regroupé dans une base de données.
Finalités du traitement
Les finalités d’un traitement est l’objet ou le but du traitement. Par exemple, un site de ecommerce mettra en place un traitement qui aura pour finalité de « Permettre la gestion et l’envoi des commandes ». On peut décrire assez librement les finalités et même les découper en plusieurs sous-finalités, tout comme on peut réaliser plusieurs traitements.
Moyens du traitement
Les moyens d’un traitement est le comment. Il s’agit de toutes les mesures que l’on prend pour mettre en oeuvre un traitement. Si on choisit tel ou tel logiciel, si on choisit de faire appel à un prestataire, etc.
Responsable de traitement
Le responsable de traitement est la personne (physique ou morale) qui traite les données. On dit que c’est elle qui détermine les moyens et les finalités du traitement. En réalité, tout repose sur le responsable de traitement : l’exercice des droits, le choix de la base légale, etc.
En France, le RGPD a imposé le principe de responsabilité en remplacement d’un système déclaratif. Le responsable de traitement, comme son nom l’indique, est très largement responsable de la conformité du traitement. C’est très souvent lui qui est mis en cause lorsqu’il y a un problème de conformité.
Sous-traitant
Lorsque le responsable de traitement décide de faire appel à un prestataire pour son traitement, le prestataire est sous-traitant. Cela implique notamment que ce dernier doit agir sur les instructions du responsable de traitement et n’a normalement pas le droit d’utiliser les données qu’on lui confie pour son propre dessein. Par exemple, si une entreprise veut envoyer un courriel a toute sa base client, il peut faire appel a une entreprise spécialisée qui va faire l’envoi mais cette dernière ne pourra pas garder la base de données et la revendre par exemple.
Le statut de sous-traitant est très souvent envié car il fait reposer la responsabilité sur le responsable de traitement. Cependant attention, un sous-traitant dispose tout de même d’un certain nombre d’obligation et il peut être sanctionné s’il ne les respecte pas. A noter également qu’une sous-traitance doit obligatoirement faire l’objet d’un accord juridique.
Co-responsables de traitement
Dans certains cas, il peut arriver que plusieurs personnes déterminent ensemble les finalités et moyens d’un traitement. Dans ce cas on parle de co-responsables de traitement. Ce cas est assez rare.
Personne agissant sous l’autorité de
Il est important de souligner qu’il existe dans le RGPD la notion de « personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ». Cela permet notamment de considérer que si vous êtes employé d’une entreprise, cette dernière est responsable de traitement et vous n’êtes pas sous-traitant mais simplement une personne agissant sous son autorité. Cela fonctionne aussi pour les personnes agissant sous l’autorité des sous-traitants.
Tiers
Un tiers est n’importe qui sauf une personne concernée, un responsable de traitement (ou co-responsables), un sous-traitant ou une personne agissant sous l’autorité de.
Destinataire
Lorsque des données personnelles sont transmises à quelqu’un, celui-ci est qualifié de destinataire des données personnelles. Il peut s’agir d’un tiers ou non : un sous-traitant est destinataire.
Attention à ne pas confondre le « destinataire » au titre du RGPD et le « destinataire » au titre du Règlement sur les services numériques (DSA en anglais). Dans le second cas, il s’agit des utilisateurs du service, ce qui peut s’apparenter aux « personnes concernées » du RGPD.
DPO
Le ou la délégué à la protection des données est un rôle-clé du RGPD. En terme de responsabilité, on peut le qualifié de personne agissant sous l’autorité d’un responsable de traitement, mais il jouit d’une certaine indépendance et même d’une sorte d’absence de responsabilité. En effet, il ne peut pas être mis en cause (par exemple en étant licencié) si le traitement n’est pas conforme : seule le responsable de traitement est… responsable.
Le ou la DPO a un rôle de conseil pour les décideurs d’une organisation. Il prend en charge toute les actions lié au RGPD mais c’est bien les décideurs qui prennent les décisions.
Base légale
Dans le milieu de la protection des données, la base légale est l’une des six raisons pour lequel il est possible de réaliser un traitement, prévues par le RGPD : le consentement, le contrat, l’obligation légale, la sauvegarde des intérêts vitaux, l’exécution d’une mission d’intérêt public ou l’intérêt légitime.
A noter, on dit souvent « base légale » alors que texte parle de « base juridique » et de licéité du traitement.
Intérêt légitime
Dans l’une des six bases légales, il souvent aisé de les comprendre à la simple lecture de leur intitulé, à l’exception de l’intérêt légitime qui peut paraitre plus nébuleux. Tout d’abord l’intérêt de qui ? Il ne s’agit pas de l’intérêt de la personne concernée mais bien l’intérêt du responsable de traitement ou d’un tiers. Ce dernier peut vouloir traiter des données personnelles car il en a besoin ou il a le souhait de le faire.
Par exemple, un vendeur souhaite lutter contre la fraude : il pourrait vouloir garder une liste d’anciens clients avec lesquels il ne souhaite plus commercer. Cependant attention, il faut que prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.
Violation de données
On parle souvent de fuite de données, mais le terme « violation de données à caractère personnel » regroupe bien plus que la divulgation non autorisée de données. Cela inclut également la destruction, la perte ou même l’altération. Dans des lignes directrices, il est évoqué le fait que la simple indisponibilité d’un service en ligne qui héberge des données personnelles peut constituer une violation si cette indisponibilité n’était pas prévue. Enfin, une violation peut être accidentelle comme illicite.
Pseudonymisation
La pseudonymisation est une opération qui vise à remplacer les données directement identifiantes en des données indirectement identifiantes. Il est important de noter que nous avons des données personnelles avant comme après l’opération : il s’agit donc d’un traitement de données.
Il s’agit aussi d’une mesure d’atténuation des risques. S’il est possible de réaliser un traitement avec des données pseudonymisées plutôt que directement identifiantes, alors il est bon de le faire. Si une divulgation non autorisée de données a lieu alors il sera plus compliqué d’identifier les personnes concernées. Grâce à cela on peut éviter des atteintes aux libertés et aux droits des personnes concernées.
Anonymisation
A l’inverse de la pseudonymisation, l’anonymisation est une opération qui vise à transformer des données personnelles en données non personnelles. De part la définition très large de « données personnelle », ce type d’opération est très compliquée à réaliser car il doit être impossible d’identifier des personnes avec les données anonymisées.
Prenons un exemple. Une entreprise décide de publier des statistiques sur les salaires de ses employés. Elle publie une liste de salaires avec l’âge et le sexe des personnes. Il est très probable qu’il s’agissent de données personnelles car simplement avec l’âge et le sexe des personnes il est possible de retrouver une personne précise, si personne d’autre n’a le même âge et est du même sexe.
Droit à l’oubli
Également nommé « droit à l’effacement », il permet à la personne concernée de faire supprimer ses données personnelles d’un fichier. C’est l’article 17 du RGPD qui régit ce droit.
Pour les moteurs de recherche, un droit au déréférencement existe aussi pour éviter que des résultats de recherche contienne certaines données personnelles.
Droit d’accès
A ne pas confondre avec le droit à l’oubli, le droit d’accès permet uniquement d’obtenir une copie de ses données personnelles et non une suppression. Il n’est pas rare que les responsables de traitement face à une demande d’accès supprime les données en pensant que la personne ne souhaitait pas être présent dans un fichier (suite à de la prospection commerciale par exemple). C’est l’article 15 du RGPD qui prévoit ce droit.
Il existe d’autres droits dans le RGPD comme le droit à la rectification, à la limitation, etc.
C’est tout pour cette première version de mon petit dictionnaire du RGPD. Si vous avez entendu d’autres termes, n’hésitez pas à me les transmettre ! Je pourrais peut-être les rajouter.