Glossaire RGPD

Analyse d'Impact relative a la Protection des Donnees -- l'etude obligatoire pour les traitements a risque eleve.

Une AIPD documente les risques pour les personnes et les mesures pour les attenuer. Elle est obligatoire avant la mise en oeuvre d'un traitement susceptible d'engendrer un risque eleve.

Exemple : Tu dois faire une AIPD si tu mets en place une videosurveillance des salaries, un systeme de scoring credit, ou un traitement biometrique.

Article RGPD imposant la consultation prealable de la CNIL si risques eleves persistants.

La justification juridique pour traiter une donnee. 6 bases possibles.

Les 6 bases : 1) Consentement, 2) Execution d'un contrat, 3) Obligation legale, 4) Sauvegarde interets vitaux, 5) Mission d'interet public, 6) Interet legitime. Tu dois choisir UNE base par traitement, et le DOCUMENTER.

Exemple : Pour la gestion paie : 'execution du contrat de travail' + 'obligation legale fiscale'.

Modele de contrat fourni par la Commission Europeenne pour encadrer les transferts hors UE.

Les CCT 2021/914 sont les modeles actuellement valides. Toi (responsable) signes avec ton sous-traitant hors UE pour garantir le niveau de protection RGPD.

Commission Nationale de l'Informatique et des Libertes -- l'autorite de protection des donnees en France.

La CNIL controle, conseille et sanctionne les organisations qui traitent des donnees personnelles. Elle peut infliger jusqu'a 4% du CA mondial en sanctions.

Accord libre, specifique, eclaire et univoque de la personne. Pas une case pre-cochee.

Le consentement doit etre prouvable (date, IP, contenu accepte) et retirable a tout moment, aussi simplement qu'il a ete donne.

Exemple : Cocher une case 'J'accepte de recevoir des newsletters' = consentement valide. Une case pre-cochee = consentement invalide.

Obligation de consulter la CNIL AVANT le traitement si les risques residuels restent eleves.

Article 36 RGPD : si l'AIPD montre que des risques eleves persistent malgre les mesures, tu dois transmettre l'AIPD a la CNIL avant de demarrer. Reponse CNIL sous 8 semaines.

Categories particulieres : sante, biometrie, genetique, opinions politiques, religion, syndicats, orientation sexuelle.

Le traitement des donnees sensibles est interdit par defaut, sauf exceptions strictes (consentement explicite, obligation legale, interet vital, donnees rendues publiques par la personne, etc.).

Exemple : Tu vas faire signer une carte mutuelle a tes salaries -> tu traites des donnees sante -> regles strictes.

Data Processing Agreement -- le contrat obligatoire entre toi et tes sous-traitants RGPD.

Le DPA encadre ce que ton sous-traitant peut faire avec les donnees, les mesures de securite, la duree, et les conditions de fin de contrat. Sans DPA = manquement RGPD.

Exemple : AWS, Microsoft, Google, Brevo ont des DPA standards a signer en ligne. Pour les petits sous-traitants, c'est un PDF a faire signer.

Data Protection Impact Assessment -- nom anglais de l'AIPD.

Identique a l'AIPD. Souvent utilise dans les conventions internationales et les outils anglo-saxons.

Delegue a la Protection des Donnees -- la personne responsable du RGPD dans ton organisation.

Le DPO conseille la direction, controle la conformite, est le contact des personnes concernees et de la CNIL. Obligatoire pour les organismes publics, certains traitements a grande echelle ou de donnees sensibles.

Exemple : Pour une PME de 30 personnes sans donnees sensibles, le DPO n'est pas obligatoire mais recommande (interne ou externalise).

Les 9 droits que toute personne peut exercer sur ses donnees : acces, rectification, effacement, limitation, portabilite, opposition, etc.

Tu dois pouvoir y repondre dans un delai d'1 mois maximum, gratuitement (sauf cas abusifs). Mettre en place un canal dedie (email/formulaire) est obligatoire.

Combien de temps tu gardes la donnee avant de l'effacer ou de l'archiver.

Une donnee ne peut etre conservee que le temps necessaire a la finalite. Apres cela, tu dois soit l'effacer, soit la rendre anonyme, soit la passer en archivage intermediaire ou definitif.

Exemple : Donnees prospects : max 3 ans apres dernier contact. Donnees paie : 5 ans (obligation legale).

La raison pour laquelle tu collectes les donnees -- elle doit etre claire, precise et legitime.

Une finalite legitime exclut la collecte 'au cas ou'. Tu dois pouvoir expliquer en une phrase pourquoi tu collectes chaque donnee.

Exemple : Bon : 'Gerer les paiements clients'. Mauvais : 'Mieux connaitre nos clients' (trop vague).

Impact pour la personne si le risque se realise. Echelle 1 (negligeable) a 4 (maximale).

Negligeable : impact mineur. Limitee : desagrement reversible. Importante : prejudice grave reversible. Maximale : prejudice irreversible (ex: discrimination, vol identite).

Principe : tu ne collectes QUE les donnees strictement necessaires a la finalite.

Pour s'inscrire a une newsletter, tu n'as besoin que de l'email, pas de la date de naissance et du numero de telephone.

Privacy Impact Assessment -- ancien nom francais de l'AIPD (utilise par la CNIL).

PIA et AIPD designent la meme demarche. La CNIL utilise plutot 'PIA', le RGPD utilise 'AIPD'.

Liste consolidee des mesures a mettre en place avec date cible et responsable.

L'etape 4 de la methode CNIL impose un plan d'action consolide : toutes les mesures status='to_implement' agregees, avec deadline et owner.

Principe : integrer la protection des donnees DES la conception d'un produit/service.

Au lieu d'ajouter du RGPD apres coup, tu y penses des le debut : minimisation des donnees collectees, securite par defaut, transparence, droit a l'oubli facile, etc.

Remplacer les identifiants directs (nom, email) par des codes -- la donnee reste personnelle mais moins risquee.

Different de l'anonymisation : la pseudonymisation est REVERSIBLE (avec la cle). L'anonymisation est IRREVERSIBLE et la donnee n'est plus personnelle.

Exemple : Une base ou les noms sont remplaces par 'user_001', 'user_002' avec table de correspondance separee = pseudonymisee.

La liste de tous les traitements de donnees personnelles que ton organisation effectue.

Le registre est obligatoire (art. 30 RGPD) sauf pour les organisations < 250 salaries SI le traitement n'est pas regulier ET ne presente pas de risque ET ne porte pas sur des donnees sensibles. En pratique, presque toutes les PME doivent en tenir un.

Exemple : Exemples de traitements : gestion paie, fichier clients, prospection commerciale, videosurveillance, badges entree.

Identique au 'Registre' -- voir le terme 'Registre'.

L'entite qui decide POURQUOI et COMMENT traiter les donnees -- c'est toi pour ton entreprise.

Tu es responsable de traitement pour les donnees de TES clients, salaries, prospects. Cela implique des obligations directes (registre, AIPD si risque, droits des personnes, securite).

Reglement General sur la Protection des Donnees, applicable depuis mai 2018 en Europe.

Le RGPD encadre la collecte et le traitement des donnees personnelles. Il s'applique des qu'une organisation traite des donnees de personnes europeennes, peu importe ou elle est etablie.

Evenements redoutes pour les personnes : acces illegitime, modification, disparition de leurs donnees.

La methode CNIL distingue 3 evenements redoutes (atteinte a la confidentialite, integrite, disponibilite) et impose pour chacun d'identifier les sources, menaces et mesures.

Nom anglais des CCT.

Origine du risque : humain interne/externe, ou non-humain (informatique, environnement, materiel).

Methode CNIL PIA-1 etape 3 : pour chaque scenario, on identifie qui ou quoi pourrait declencher le risque. Cela permet de cibler la mesure la plus efficace (ex: 2FA contre acces externe, redondance contre panne materielle).

Une entreprise qui traite des donnees pour TON compte (et pas pour les leurs).

Sont sous-traitants : ton hebergeur, ton outil emailing, ton CRM, ton outil paie SaaS, ton centre d'appel externalise. PAS sous-traitant : ton fournisseur d'electricite, ton expert-comptable (responsable autonome).

Exemple : Si tu utilises Brevo pour ta newsletter, Brevo est ton sous-traitant et tu dois signer un DPA avec eux.

Envoi de donnees vers un pays hors Espace Economique Europeen (USA, Inde, etc.). Encadre strictement.

Les transferts hors UE necessitent une garantie : decision d'adequation, clauses contractuelles types (CCT) Commission EU, regles d'entreprise contraignantes (BCR), ou consentement explicite.

Exemple : Si ton outil emailing est aux USA (Mailchimp), tu transferes des donnees hors UE -> CCT obligatoires.

Un incident de securite qui compromet des donnees personnelles : fuite, vol, perte, destruction.

Si la violation presente un risque pour les personnes, tu dois la notifier a la CNIL sous 72h. Si le risque est eleve, tu dois aussi avertir les personnes concernees.

Exemple : Mail envoye au mauvais destinataire avec un fichier clients = violation. Vol d'un ordi portable non chiffre = violation.

Probabilite qu'un risque se realise. Echelle CNIL : 1 (negligeable) a 4 (maximale).

Negligeable : tres difficile a realiser. Limitee : possible mais difficile. Importante : possible. Maximale : tres facile.