Mots-clés
Quelques notions importantes que nous avons besoin de préciser…
Certaines notions ne sont pas propres au RGPD mais sont les fondements de la sécurité de l’information :
- Intégrité
- Confidentialité
- Disponibilité
- Auditabilité
Certains termes ont un sens particulier pour le RGPD :
- Légitimité
Acronymes
| RGPD | Règlement Général sur la Protection des données |
| CNIL | Commission Nationale Informatique et Liberté |
| DPO | Data Protection Officer (Délégué à la protection des données) |
| PIA | Privacy Impact Assesment : l’évaluation des risques de traitement des données personnelles |
Donnée
Une donnée est une information élémentaire (elle peut être dite « personnelle » si elle concerne une personne). Les données sont rarement indépendantes, elles forment généralement des ensembles de données et sont en relation avec d’autres données, les données et leurs relations constituant une information enrichie.
Une donnée concerne un élément de description (caractéristique), une trace d’événement, un élément de comptage, etc…
En gestion des systèmes d’information, on se préoccupe de la disponibilité des données, de leur intégrité, de leur accessibilité et de leur auditabilité.
Disponibilité : A quel moment la donnée peut-elle être utilisée ?
Intégrité : Comment garantit-on que la donnée reste en l’état ?
Confidentialité : Comment contrôle t-on l’accès à la donnée ?
Auditabilité : Comment peut-on vérifier a posteriori ce qui a été fait en rapport avec la donnée ?
Cycle de vie
Un cycle de vie est une représentation d’un ensemble d’étapes successives associé à un concept ou un objet tel qu’un projet, un équipement ou une information et couvrant l’histoire de son existence.
Le cycle de vie d’une donnée dans le cadre d’un traitement concernera les étapes successives depuis la collecte des informations jusqu’à leur suppression.
Légitimité
La collecte et le traitement des données personnelles doit être légitime dans son objectif. Il doit :
- répondre à une finalité spécifique
- ou être relatif à un contrat ou pré-contrat signé par la personne
- ou être nécessaire pour répondre à une obligation légale
- ou être nécessaire nécessaire à la sauvegarde des intérêts vitaux d’une personne physique
- et ne pas être contraire aux restrictions de la CNIL
Consentement
La collecte de données personnelles nécessite l’accord de la personne concernée. Il s’agit de l’expression de la volonté de celle-ci que les données fassent l’objet d’un traitement. Ce consentement doit être libre, spécifique à un traitement, non ambigü et donné en toute conscience. C’est un acte positif qui devra laisser une trace permettant de le démontrer en cas de besoin.
Activités
Les activités de traitement sont, par exemple :
- la collecte
- l’enregistrement
- l’organisation
- la structuration
- la conservation
- l’adaptation ou la modification
- l’extraction
- la consultation
- l’utilisation
- la communication / transmission
- la diffusion ou mise à disposition
- le rapprochement ou l’interconnexion
- la limitation
- l’effacement / desctruction