Gif-Detox-digitale

RGPD : le glossaire et la bibliographie du DPO

RGPDLe RGPD est une règlementation européenne qui refond et renforce les droits des personnes physiques pour ce qui concerne la protection de leurs données à caractère personnel.

Entré en application le 27 avril 2016 et entré en vigueur le 25 mai 2018, le RGPD s’applique à l’ensemble des traitements de données personnelles et concerne toute organisation établie sur le territoire de l’Union (même si le traitement des données s’effectue depuis l’étranger), ainsi que toute organisation établie en dehors de l’Union Européenne traitant de données personnelles de personnes situées sur le territoire de l’Union.

La Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, est entrée en application le 5 mai 2016. Transposée en droit interne par les États membres, ses dispositions sont entrées en vigueur le 6 mai 2018.

Pour se conformer au RGPD, les organisations ont désormais recours à des professionnels exerçant un nouveau métier, celui de DPD (Délégué à la Protection des Données) ou DPO en anglais (Data Protection Officer). À ce jour, 16 000 désignations de DPO ont été enregistrées pour plus de 50 000 organismes.

La liste des pré-requis en termes de compétences et de savoir-faire pour exercer la fonction de DPO est définie par la délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO).

Nombreux sont les acronymes faisant partie du jargon de la profession. Cet article recense 106 termes ou acronymes et propose un extrait de la liste des sources documentaires de référence du DPD.

Glossaire (acronymes et définitions)*

Acronyme ou terme Signification/définition*
ADIJ Association pour le Développement de l’Informatique Juridique
AIPD Analyse d’impact relative à la protection des données (ou « Privacy Impact Assessment » PIA).
Obligation de mener une analyse de l’impact des traitements de données envisagées par l’entité concernée sur la protection des données à caractère personnel des personnes concernées.
L’analyse d’impact s’impose notamment en présence de traitements menant à un profilage ou encore en cas de traitement à grande échelle de données qui révèlent l’origine raciale ou ethnique, les opinions politiques, le convictions religieuses ou philosophiques, une appartenance syndicale, des données génétiques ou biométriques, des données concernant la vie sexuelle ou l’orientation sexuelle… des personnes. La CNIL publiera une liste complémentaire des traitements concernés.
AFCDP Association Française des Correspondants à la Protection des Données à Caractère Personnel
AFCIN Association francophone des spécialistes de l’investigation numérique
Anonymisation “Processus par lequel des informations personnellement identifiables (IPI) sont irréversiblement altérées de telle façon que le sujet des IPI ne puisse plus être identifié directement ou indirectement, que ce soit par le responsable du traitement des IPI seul ou en collaboration avec une quelconque autre partie” (ISO 29100:2011).
L’anonymisation constitue un traitement ultérieur des DCP. L’anonymisation peut être le résultat du traitement de DCP dans le but d’empêcher irréversiblement l’identification de la personne concernée. Le résultat de l’anonymisation, en tant que technique appliquée aux DCP, devrait être, dans l’état actuel de la technologie, aussi permanent qu’un effacement, c’est-à-dire qu’il devrait rendre impossible tout traitement de DCP. L’anonymisation ne doit pas être considérée comme un exercice ponctuel : il appartient aux responsables du traitement des données de réévaluer régulièrement les risques associés. À ne pas confondre avec la pseudonymisation.
ANSSI Agence Nationale de Sécurité des Systèmes d’Information
Archivage L’archivage consiste à conserver des documents sur support papier ou électronique dans le but de pouvoir les interroger, en permettre l’accès aux personnes autorisées à le faire, et les restituer sur le temps long afin de garantir des droits ou à des fins de recherche. L’archivage vise donc à évaluer et sélectionner les documents utiles à ces fins et à lutter contre tout facteur de dégradation de l’information et notamment, dans le contexte numérique, l’obsolescence rapide des formats de représentation des données, des solutions de lecture de ces formats (logiciels) ainsi que des supports.
Attaques DOS/DDOS Une attaque par déni de service (abr. DoS attack pour Denial of Service attack en anglais) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. L’attaque peut prendre différentes formes : une saturation de la bande passante du serveur pour le rendre injoignable, un épuisement des ressources système de la machine, l’empêchant ainsi de répondre au trafic légitime.
Authentification / identification L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité (ANSSI). Un mécanisme d’authentification forte requiert au minimum deux facteurs d’authentification distincts parmi ce que l’on sait (ex. : mot de passe), ce que l’on a (ex. : certificat électronique, carte à puce, etc.) et une caractéristique qui nous est propre (ce que l’on est) (ex. : empreinte digitale ou autre caractéristique biométrique). La loi Informatique et Libertés subordonne le recours à des dispositifs biométriques à l’autorisation préalable de la CNIL. D’une manière générale, la CNIL recommande l’utilisation de biométrie sans traces (contour de la main, réseaux veineux, etc.) ou l’enregistrement des empreintes digitales dans un support individuel. CNIL – PIA – Les bases de connaissances (P. 24)
Autorité de contrôle concernée

Autorité publique indépendante, instituée par un État membre en vertu de l’article 51 du RGPD, et concernée par le traitement de données à caractère personnel parce que :
– le responsable du traitement ou le sous-traitant est établi sur le territoire de l’État membre dont cette autorité de contrôle relève ;
– des personnes concernées résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être ; ou
– une réclamation a été introduite auprès de cette autorité de contrôle.

BDRIJ Brigades Départementales de Renseignement et d’Investigation Judiciaire
BEFTI Brigade d’Enquête sur les Fraudes aux TIc
BIOS Le BIOS, de l’anglais Basic Input Output System (en français : « système élémentaire d’entrée/sortie ») est un ensemble de fonctions, contenu dans la mémoire morte (ROM) de la carte mère d’un ordinateur, lui permettant d’effectuer des opérations de base, lors de sa mise sous tension. Par exemple, l’identification des périphériques d’entrée/sortie connectés et la lecture d’un secteur sur un disque, un CD ou une partie d’une clé USB. Par extension, le terme est souvent utilisé pour décrire l’ensemble du micrologiciel de la carte mère. C’est en quelque sorte le centre de contrôle de la carte mère. Sur les cartes récentes il est remplacé par sa version moderne l’UEFI.
Botnet Un botnet (de l’anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches.
BYOIoT “Bring Your Own IoT”. Appareils connectés à des réseaux distants externes (de type cloud) utilisés par les employés.
CERT Computer Emergency Response Team
Les CERT français :
– CERT IST (Industrie Service Tertiaire)
– CERT RENATER (Enseignement supérieur et recherche)
– CERTA (Administration), hébergé au sein du COSSI
– Autres CERT : La Poste, Orange, BNP-Paribas, Société Générale CERT commerciaux : Lexsi, Devoteam, XMCO
Les CERT émettent des bulletins d’alerte et des avis
C-NTECH  Correspondants en technologies numériques (C-Ntech)
CESIN Club des Experts de la Sécurité de l’Information et du Numérique
Chiffrement Le chiffrement ou cryptage est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. Ce principe est généralement lié au principe d’accès conditionnel. Bien que le chiffrement puisse rendre secret le sens d’un document, d’autres techniques cryptographiques sont nécessaires pour communiquer de façon sûre. Pour vérifier l’intégrité ou l’authenticité d’un document, on utilise respectivement un Message Authentication Code (MAC) ou une signature numérique (Wikipédia).
Chiffrement RSA Le chiffrement RSA (nommé par les initiales de ses trois inventeurs) est un algorithme de cryptographie asymétrique, très utilisé dans le commerce électronique, et plus généralement pour échanger des données confidentielles sur Internet. Cet algorithme a été décrit en 1977 par Ronald Rivest, Adi Shamir et Leonard Adleman. RSA a été breveté par le Massachusetts Institute of Technology (MIT) en 1983 aux États-Unis. Le brevet a expiré le 21 septembre 2000 (Wikipédia)
Chiffrement TLS TLS signifie “Transport Layer Security”. Il s’agit là aussi d’un protocole de sécurité, assurant la confidentialité des informations échangées entre des applications et leurs utilisateurs sur internet. TLS fait également en sorte d’éviter que des tiers puissent altérer ou falsifier les messages. Il est constitué de deux couches : le Protocole TLS Record (enregistrement) et le Protocole TLS Handshake (“poignée de main”). Le premier fournit une connexion sécurisée grâce aux méthodes comme DAE (Data Encryption Standard, ou “standard de cryptage de données” en français). Il peut également être utilisé sans cryptage. Le second protocole, lui, permet au serveur et à l’ordinateur de s’identifier l’un à l’autre puis de choisir ensemble un algorithme de cryptage et des clés secrètes avant de commencer à s’envoyer des données ou des messages
CNIL La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du 6 janvier 1978 modifiée le 6 août 2004
COBIT Référentiel de bonnes pratiques d’audit informatique et de gouvernance des Systèmes d’information d’origine américaine
Consentement de la personne concernée Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Cryptographie asymétrique La cryptographie asymétrique est un domaine de la cryptographie où il existe une distinction entre des données publiques et privées, en opposition à la cryptographie symétrique où la fonctionnalité est atteinte par la possession d’une donnée secrète commune entre les différents participants. La cryptographie asymétrique peut être illustrée avec l’exemple du chiffrement à clef publique et privée, qui est une technique de chiffrement, c’est-à-dire que le but est de garantir la confidentialité d’une donnée. Le terme asymétrique s’applique dans le fait qu’il y a deux clefs de chiffrement (que l’utilisateur qui souhaite recevoir des messages fabrique lui-même), telles que si l’utilisateur utilise une première clef dans un algorithme dit «de chiffrement», la donnée devient inintelligible à tous ceux qui ne possèdent pas la deuxième clef, qui peut retrouver le message initial lorsque cette deuxième clef est donnée en entrée d’un algorithme dit «de déchiffrement» (Wikipédia)
Cryptologie (moyens et prestations) Conformément à l’article 29 de la LCEN, « On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie ». Les prestations de cryptologie doivent faire l’objet d’une déclaration de fourniture d’une prestation de cryptologie auprès de l’ANSSI. On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.
Datagramme Le datagramme est un paquet de données dans un réseau informatique ou un réseau de télécommunications. Il est utilisé par des protocoles orientés « non connectés » tels que : IPX ou UDP. Le datagramme est le terme généralement utilisé pour désigner la transmission d’un paquet via un service non « fiable » : le protocole utilisé ne garantit pas que le paquet est arrivé à sa destination (un peu comme une lettre sans accusé de réception) (Wikipédia)
DCP Données à Caractère Personnel. Toute information se rapportant à une personne physique identifiée ou identifiable (dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Les données personnelles recouvrent tout ce qui a trait à la vie privée et familiale de la personne, à ses activités et cela, quel que soit le support utilisé (papier, numérique, courriel, enregistrement vocaux…)
L’appréciation se fait au regard des moyens dont dispose le responsable de traitement pour permettre l’identification
DCPJ La direction centrale de la Police judiciaire (DCPJ) est l’une des directions actives de la direction générale de la Police nationale du ministère de l’Intérieur français
Destinataire Personne habilitée à recevoir communication des données et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données (sauf autorités légalement habilitées).
DGSI Direction Générale de la Sécurité Intérieure
DICP Indicateurs de sécurité des systèmes d’information, Disponibilité, Intégrité, Confidentialité, Preuve (cette dernière est parfois remplacée par la Traçabilité : on parle donc aussi parfois de DICT)
Digital Forensic Criminalistique numérique
DLP Le terme Data Loss Prevention (DLP) fait référence à un ensemble de techniques qui permettent d’identifier, de contrôler et de protéger l’information grâce à des analyses de contenu approfondies, que l’information soit stockée, en mouvement ou traitée. L’objectif est de limiter la fuite de données sensibles, que cette dernière soit accidentelle ou intentionnelle
DMIA La durée maximale d’interruption admissible (DMIA) est l’expression de besoin de disponibilité des différents métiers ou services, dans une organisation. Elle est aussi appelée le DIMA pour délai d’indisponibilité maximal autorisé ou admissible
DMZ En informatique, une zone démilitarisée, ou DMZ (en anglais, demilitarized zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et d’Internet (ou d’un autre réseau) par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d’être accessibles depuis Internet, et qui n’ont pas besoin d’accéder au réseau local
Données biométriques Données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques
Données concernant la santé Données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne
Données génétiques Données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question
DPO – DPD Le Data Protection Officer (DPO) ou Délégué à la Protection des Données (DPD) est la personne désignée par l’organisation pour faciliter la mise en conformité de celle-ci au RGPD depuis l’adoption du RGPD. Successeur du CIL (Correspondant Informatique et Libertés), ses compétences sont élargies et sa fonction est récente.
Acteur majeur créé par le RGPD, il a pour vocation de renforcer la protection de la vie privée des personnes concernées par les traitements mis en œuvre par chaque organisation. Point de contact privilégié de l’autorité de contrôle nationale, le DPD est aussi chargé de déterminer si une étude d’impact doit être réalisée et le cas échéant, il pilote celle-ci.
DRM-PKI Une architecture DRM (Digital Rights Management) peut être logicielle ou matérielle. Elle permet la gestion numérique des droits. Une infrastructure à clés publiques (ICP) ou infrastructure de gestion de clés (IGC) ou encore Public Key Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs, des équipements cryptographiques logiciels ou matériel type HSM ou encore des cartes à puces), de procédures humaines (vérifications, validation) et de logiciels (système et application) destiné à gérer les clés publiques des utilisateurs d’un système.
DTLS En informatique, le protocole Datagram Transport Layer Security (DTLS) fournit une sécurisation des échanges basés sur des protocoles en mode datagramme. Le protocole DTLS est basé sur le protocole TLS et fournit des garanties de sécurité similaires (Wikipédia)
EBIOS Méthode d’évaluation des risques en informatique (depuis 1995) désormais maintenue par l’ANSSI depuis 2009
Établissement principal En ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal ;
En ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union ou, si ce sous-traitant ne dispose pas d’une administration centrale dans l’Union, l’établissement du sous-traitant dans l’Union où se déroule l’essentiel des activités de traitement effectuées dans le cadre des activités d’un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du RGPD.
Fichier Ensemble structuré et stable de données à caractère personnel, accessibles selon des critères déterminés (les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d’application du RGPD)
Fonction de hachage On nomme fonction de hachage, de l’anglais hash function (hash : pagaille, désordre, recouper et mélanger) par analogie avec la cuisine, une fonction particulière qui, à partir d’une donnée fournie en entrée, calcule une empreinte servant à identifier rapidement la donnée initiale, au même titre qu’une signature pour identifier une personne. Les fonctions de hachage sont utilisées en informatique et en cryptographie notamment pour reconnaître rapidement des fichiers ou des mots de passe (Wikipédia)
Freeware Le logiciel gratuit (gratuiciel, ou freeware) est un logiciel propriétaire distribué gratuitement sans toutefois conférer à l’utilisateur certaines libertés d’usage
GPOS Les stratégies de groupe (ou GP pour Group Policy) sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font partie de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection de dossiers ainsi que la gestion des fichiers en mode déconnecté. Les stratégies de groupe sont gérées à travers des objets de stratégie de groupe communément appelés GPO (Group Policy Objects)
Guichet unique Dans le cas de flux transfrontiers au sein de multinationales faisant intervenir plusieurs autorités de contrôle nationales, les États membres peuvent ne traiter qu’avec l’autorité de contrôle de l’État membre dans lequel la multinationale a son établissement principal. Une décision de contrôle unique sera prise.
HIDS Sur les systèmes HIDS, des applications de protection, comme les pare-feu, les antivirus et les programmes de détection des logiciels espions, sont installées sur tous les ordinateurs d’un réseau à accès bidirectionnel à un environnement extérieur, comme Internet.
IAM La Gestion des Identités et des Accès (IAM) est un terme générique désignant les processus internes d’une entreprise permettant d’administrer et de gérer les comptes utilisateurs et les ressources du réseau de l’entreprise, y compris les droits d’accès des utilisateurs aux applications et aux systèmes.
IDS – IPS Sondes d’intrusion (équipements de sécurité de l’infrastructure réseau). Les IDS (systèmes de détection des intrusions) analysent le trafic réseau pour détecter des signatures correspondant à des cyberattaques connues. Les IPS (systèmes de prévention des intrusions) analysent également les paquets et peuvent bloquer ceux-ci en fonction du type d’attaques qu’ils détectent.
ICC Investigateurs en CyberCriminalité
IGC Une infrastructure à clés publiques (ICP) ou infrastructure de gestion de clés (IGC) ou encore Public Key Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs, des équipements cryptographiques logiciels ou matériel type HSM ou encore des cartes à puces), de procédures humaines (vérifications, validation) et de logiciels (système et application) destiné à gérer les clés publiques des utilisateurs d’un système
IOT IoT (Internet Of Things) ou en français l’Internet des objets connectés. L’Internet des Objets est le réseau des objets physiques qui embarquent des technologies pour communiquer et interagir avec l’environnement externe selon leurs états internes.
IRCGN L’Institut de Recherche Criminelle de la Gendarmerie nationale (IRCGN) est une unité de la Gendarmerie nationale française, chargée des aspects scientifiques des investigations
Licéité Le fondement de licéité ou le caractère licite d’un traitement est respecté si au moins l’une des conditions, ci-après, est satisfaite :
– La personne a consenti au traitement ;
– Le traitement est nécessaire à l’exécution d’un contrat ;
– Le traitement est nécessaire au respect d’une obligation légale ;
– Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
– Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
– Le traitement est nécessaire aux fins des intérêts légitimes (et privés) poursuivis par le responsable du traitement ou par un tiers.
MITM L’attaque de l’homme du milieu (HDM) ou man-in-the-middle attack (MITM), parfois appelée attaque de l’intercepteur, est une attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l’internaute lambda.
NAC Un contrôleur d’accès au réseau (network access control ou NAC) est une méthode informatique permettant de soumettre l’accès à un réseau d’entreprise à un protocole d’identification de l’utilisateur et au respect par la machine de cet utilisateur des restrictions d’usage définies pour ce réseau
NIDS Sur les systèmes NIDS, un logiciel de protection est installé uniquement à des points spécifiques, comme les serveurs qui établissent l’interface entre l’environnement extérieur et le segment de réseau à protéger
NOS Network Operating System, système d’exploitation de supercalculateur de la Control Data Corporation.
NTECH Désigne un enquêteur de la Gendarmerie nationale spécialisé dans les nouvelles technologies et en particulier dans la cybercriminalité.
OCLCTIC Office Central de Lutte Contre la Criminalité liée aux TIC
OIV Organismes d’Importance Vitale
OSI Open Systems Interconnection (norme de communication, en réseau, de tous les systèmes informatiques)
PAS Le PAS (Plan d’Assurance Sécurité) répertorie toutes les références de sécurité sur lesquelles s’appuie l’entreprise pour assurer la sécurité des services qu’elle propose. L’objectif est ici de répondre notamment aux exigences des articles 34 et 35 de la loi informatique et libertés du 6 janvier 1978 modifiée qui imposent au responsable de traitement et à son sous-traitant de mettre tous les moyens en œuvre pour assurer la sécurité et la confidentialité des données. Notons ici que le Règlement Européen pour la protection des données est venu renforcer cette obligation en instaurant un quasi régime de co-responsabilité entre le client et son prestataire
PASSI Prestataires d’Audit de la Sécurité des SI
PDIS Prestataires de Détection des Incidents de Sécurité
PDMA La perte de données maximale admissible (PDMA ou parfois PDAM), en anglais Recovery Point Objective (RPO) quantifie les données qu’un système d’information peut être amené à perdre par suite d’un incident. Usuellement, elle exprime une durée entre l’incident provoquant la perte de données et la date la plus récente des données qui seront utilisées en remplacement des données perdues. Cette durée est exprimée généralement en heures ou minutes.
Pentesteur (Ethical Hacking) Contraction de « penetration test » (test d’intrusion en français), le métier de pentesteur consiste à contrôler la sécurité de tout un ensemble d’applications Web, à identifier toutes les failles de sécurité d’un système en réalisant des tests d’intrusion (c’est-à-dire des attaques contrôlées grandeur nature)
Personne concernée Personne habilitée à recevoir communication des données et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données (sauf autorités légalement habilitées)
PGP Pretty Good Privacy (en français : « assez bonne confidentialité »), plus connu sous le sigle PGP, est un logiciel de chiffrement cryptographique, développé et diffusé aux États-Unis par Philip Zimmermann en 1991. PGP se propose de garantir la confidentialité et l’authentification pour la communication des données. Il est souvent utilisé pour la signature de données, le chiffrement et le déchiffrement des textes, des courriels, fichiers, répertoires et partitions de disque entier pour accroître la sécurité des communications par courriel. Utilisant la cryptographie asymétrique mais également la cryptographie symétrique, il fait partie des logiciels de cryptographie hybride.
PHAROS Plateforme d’Harmonistation, d’Analyse, de Recoupement et d’Orientation des Signalements (émis par les internautes et professionnels relatifs aux escroqueries et extorsions, atteintes aux mineurs, actes xénophobes, racistes et discriminatoires)
PSSI La Politique de Sécurité des Systèmes d’Information (PSSI) est un plan d’actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration, État, unions d’États…) en matière de sécurité des systèmes d’information (SSI)
PRIS Prestataires de Réponse aux Incidents de Sécurité
Privacy by design Protection de la vie privée dès la conception («Privacy by design»). Toute nouvelle technologie traitant des données personnelles ou permettant d’en traiter doit garantir dès sa conception et lors de chaque utilisation, même si elle n’a pas été prévue à l’origine, le plus haut niveau possible de protection des données.
Profilage Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser des données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
Pseudonymisation Traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable
Règles d’entreprises contraignantes (BCR – Business Corporate Rules) Règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe.
Représentant Personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27 du RGPD, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement.
Responsable de traitement Personne physique ou morale, autorité publique, service ou tout autre organisme ayant pour mission de déterminer les finalités et moyens du traitement
RGPD Règlement n°2016/679, dit règlement général sur la protection des données (GDPR : The EU General Data Protection Regulation).
RSSI Responsable de la Sécurité des Systèmes d’Information
Serveur mandataire Un serveur proxy (ou serveur mandataire) est un serveur (un système ou une application) qui agit comme un intermédiaire pour les requêtes d’ordinateurs clients vers d’autres serveurs
SGDSN Secrétariat Général de la Défense et de la Sécurité Nationale
Shareware Le shareware est un logiciel commercial distribué gratuitement aux utilisateurs, disponible pour une période limitée ou une période d’essai et qui expire après un nombre de jours défini
Signature numérique La signature numérique (parfois appelée signature électronique) est un mécanisme permettant de garantir l’intégrité d’un document électronique et d’en authentifier l’auteur, par analogie avec la signature manuscrite d’un document papier. Elle se différencie de la signature écrite par le fait qu’elle n’est pas visuelle, mais correspond à une suite de caractères (Wikipédia)
Sonde IDS Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions
Sous-traitant Personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable de traitement
SRTP Secure Real-time Transport Protocol (ou SRTP) définit un profil de RTP (Real-time Transport Protocol) qui a pour but d’apporter le chiffrement, l’authentification et l’intégrité des messages et la protection contre le rejeu (replay) de données RTP. SRTP fonctionne à la fois en envoi ciblé (unicast) et en multidiffusion (multicast) (Wikipédia)
SSH Secure shell Secure SHell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion
SSID Service Set Identifier (clé alphanumérique identifiant de manière unique un réseau sans fil à partir d’une chaîne de caractère de 0 à 32 octets)
SSL Le SSL, pour Secure Socket Layer, est un protocole de sécurité qui permet de sécuriser les échanges d’informations entre des appareils reliés à un réseau interne ou à Internet. Le plus souvent, le SSL est le protocole que l’on utilise pour se connecter en toute sécurité sur un serveur Web depuis un navigateur afin d’effectuer, notamment, une transaction bancaire en ligne. On repère assez facilement sa présence grâce à l’affichage d’un petit cadenas dans la barre d’adresse du navigateur et du protocole https
STAD Système de Traitement Automatisé de Données
STRJD Le Service central de renseignement criminel (SCRC), anciennement Service technique de recherches judiciaires et de documentation (STRJD), est un organisme central de police judiciaire de la Gendarmerie nationale française formant avec l’Institut de Recherches Criminelles de la Gendarmerie Nationale (IRCGN) et l’observatoire central des systèmes de transports intelligents (OCSTI), le Pôle Judiciaire de la Gendarmerie Nationale
Tiers Personne physique ou morale, autorité publique, service ou organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel
TLS / SSL Transport Layer Security (TLS) ou Sécurité de la couche de transport, et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de sécurisation des échanges sur Internet. Le protocole SSL a été développé à l’origine par Netscape. L’IETF en a poursuivi le développement en le rebaptisant Transport Layer Security (TLS). On parle parfois de SSL/TLS pour désigner indifféremment SSL ou TLS. (Wikipédia)
TRACFIN Traitement du Renseignement et Action contre les Circuits FINanciers clandestins
Traitement de données à caractère personnel L’article 4 du RGPD définit un traitement comme “toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de DCP, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction”.
Traitement transfrontalier Un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ;
ou
Un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.
Violation de données à caractère personnel Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données
VPN Un réseau privé virtuel, abrégé VPN – Virtual Private Network, est un système permettant de créer un lien direct entre des ordinateurs distants, en isolant ce trafic
W3C Le World Wide Web Consortium, abrégé par le sigle W3C, est un organisme de standardisation à but non lucratif, fondé en octobre 1994 chargé de promouvoir la compatibilité des technologies du World Wide Web telles que HTML5, HTML, XHTML, XML, RDF, SPARQL, CSS, XSL, PNG, SVG et SOAP (Wikipédia)
WebRTC WebRTC (Web Real-Time Communication, littéralement « communication en temps réel pour le Web ») est une interface de programmation (API) JavaScript développée au sein du W3C et de l’IETF. […] Le but du WebRTC est de lier des applications comme la voix sur IP, le partage de fichiers en pair à pair en s’affranchissant des modules d’extensions propriétaires jusqu’alors nécessaires (Wikipédia)
WIDS Système de détection d’intrusion sans fil, fournissant une sécurité contre les attaques sans fil
WSUS Windows Server Update Services (WSUS) est un service permettant de distribuer les mises à jour pour Windows et d’autres applications Microsoft sur les différents ordinateurs fonctionnant sous Windows au sein d’un parc informatique. WSUS est un rôle pour serveur Windows lui permettant ainsi de devenir un serveur de mises à jour local (ou proxy de mises à jour). Ce serveur télécharge et stocke ponctuellement l’ensemble des mises à jour disponibles auprès des serveurs Windows Update de Microsoft et rend possible le contrôle de la diffusion de celles-ci dans le parc.

Bibliographie

[1] ANSSI. (2010). EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité. Récupéré 1 mars, 2019, de https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite

[2] CERT-FR. (2000, 8 novembre). Rappel sur les virus et chevaux de Troie. Récupéré 1 mars, 2019, de https://www.cert.ssi.gouv.fr/information/CERTA-2000-INF-007

[3] CERT-FR. (2003, 12 mai). Rappel sur les virus de messagerie. Récupéré 1 mars, 2019, de https://www.cert.ssi.gouv.fr/avis/CERTA-2003-AVI-084

[4] CNIL. (2016). Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679. Consulté sur https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf

[5] CNIL. (2018a, 6 novembre). Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD). Récupéré 1 mars, 2019, de https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd

[6] CNIL. (2018b, 6 novembre). Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD). Récupéré 1 mars, 2019, de https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037559518

[7] CNIL. (2018c). Analyse d’impact relative à la protection des données (AIPD) : étude de cas « Captoo ». Récupéré 1 mars, 2019 de https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-captoo-fr.pdf

[8] CNIL. (2018). Analyse d’impact relative à la protection des données (AIPD) 1 : la méthode. Consulté sur https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-1-fr-methode.pdf

[9] CNIL. (2018). Analyse d’impact relative à la protection des données (AIPD) 2 : les modèles. Consulté sur https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-fr-modeles.pdf

[10] CNIL. (2018). Analyse d’impact relative à la protection des données (AIPD) 3 : les bases de connaissances. Consulté sur https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-fr-basesdeconnaissances.pdf

[11] Union Européenne, (2010, 30 Mars). Charte des droits fondamentaux de l’Union Européenne. Journal de l’Union Européenne. 83 (02), 397-403. Retrieved from https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:083:0389:0403:FR:PDF

[12] Union Européenne, (2014, 30 décembre). Règlement délégué (UE) N°1382/2014 de la commission. Journal de l’Union Européenne. 371, 1-212. Retrieved from https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=OJ:L:2014:371:FULL&from=FR

[13] Union Européenne. (2016, 27 avril). Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des DCP et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). (Texte présentant de l’intérêt pour l’EEE). Récupéré 1 mars, 2019, de https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

[14] Legifrance. (1978, 6 janvier). Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Récupéré 1 mars, 2019, de https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460

[15] Legifrance. (2001a, 13 décembre). Décret n°2001-1192 du 13 décembre 2001 relatif au contrôle à l’exportation, à l’importation et au transfert de biens et technologies à double usage. Récupéré 1 mars, 2019, de https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000005631830

[16] Legifrance. (2001b, 13 décembre). Arrêté du 13 décembre 2001 relatif au contrôle à l’exportation vers les pays tiers et au transfert vers les Etats membres de la Communauté européenne de biens et technologies à double usage. Récupéré 1 mars, 2019, de https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=165985CADC36DBF3CC59EC5D89640110.tpdjo09v_3?cidTexte=JORFTEXT000000581113

[17] Legifrance. (2004a, 21 juin). Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. Récupéré 1 mars, 2019, de https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164

[18] Legifrance. (2004b, 21 juin). Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique | Legifrance. Récupéré 1 mars, 2019, de https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164

[19] Legifrance. (2011, 25 février). Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Récupéré 1 mars, 2019, de https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013

[20] Legifrance. (2015, 29 janvier). Arrêté du 29 janvier 2015 définissant la forme et le contenu des dossiers de déclaration et de demande d’autorisation d’opérations relatives aux moyens et aux prestations de cryptologie. Récupéré 1 mars, 2019, de https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000030255024

[21] Legifrance. (2017a, 27 janvier). Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe. Récupéré 1 mars, 2019, de https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033928007

[22] Legifrance. (2017b, 4 mai). Décret n°2007-663 du 2 mai 2007 pris pour l’application des articles 30, 31 et 36 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique et relatif aux moyens et aux prestations de cryptologie. Récupéré 1 mars, 2019, de https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000646995

[23] LALLEMENT, P. & CORPEL, A. Module 2 : Les fondamentaux de la Sécurité des Systèmes d’Information (SSI) [notes fournies dans le cours de formation CNCP : 3105], Université de Technologie de Troyes, Paris, 10-11 décembre 2018.

[24] Lemercier, M. Module 4 : Les techniques d’administration de la donnée [notes fournies dans le cours de formation CNCP : 3105], Université de Technologie de Troyes, Paris, 31 janvier 2019 – 01 février 2019.

[25] Organisation internationale de normalisation. (2017, 8 novembre). ISO 31000 : 2009. Récupéré 1 mars, 2019, de https://www.iso.org/fr/standard/43170.html

[26] PWC Société d’avocats. Module 1 : Les métiers de DPO/Rôle et responsabilité [Notes fournies dans le cours de formation CNCP : 3105], Université de Technologie de Troyes, Paris, 29-30 novembre 2018.

[27] PWC Société d’avocats. Module 3 : Les principes clés de la protection des données personnelles sur le plan juridique [Notes fournies dans le cours de formation CNCP : 3105], Université de Technologie de Troyes, Paris, 10-11 janvier 2019.

Pour aller plus loin et tester vos connaissances

Si vous vous intéressez comme moi à la protection des données personnelles, avant ou après avoir été désigné(e) DPO, vous pourrez tester vos connaissances en suivant le MOOC que la CNIL a mis en ligne en mars 2019. L’atelier RGPD de la CNIL se compose de 4 modules à suivre et à valider à son rythme :

  1. MODULE 1 : LE RGPD ET SES NOTIONS CLÉS
  2. MODULE 2 : LES PRINCIPES DE LA PROTECTION DES DONNÉES
  3. MODULE 3 : LES RESPONSABILITES DES ACTEURS
  4. MODULE 4 : LE DPO ET LES OUTILS DE LA CONFORMITÉ

Au terme de la formation, une attestation de suivi est téléchargeable dès lors que vous atteignez 100% de progression au niveau de chaque module et un score d’au moins 80% à chaque évaluation :

Attestion suivi Mooc CNIL
Carole Blancot À propos de Carole Blancot

Carole Blancot est conférencière, formatrice, co-auteure de plusieurs ouvrages, blogueuse, Psychosociologue clinicienne psychothérapeute (Numéro ADELI : 78 93 1059 6), IPRP (n°IDF/2018/34), Présidente de SpotPink (agence de communication pour les acteurs des domaines RH et SIRH), Directrice générale de NumUP et aussi DPO (le cumul des mandats n'étant pas proscrit lorsque l'on ne perçoit pas de rémunération en tant que fonctionnaire d'État). Elle intervient en entreprise notamment pour la négociation ainsi que la mise en application du droit à la déconnexion. Elle est co-auteure de 6 ouvrages spécialisés sur les médias sociaux et le Système d’Information en Ressources Humaines : - Guide du bon usage des outils numériques et de l'exercice de la déconnexion, Paris, Amazon, 2018, disponible aux formats Word (personnalisable), eBook Kindle et broché. - Barféty, Jean-Marc, Berthelot, Vincent, Clémentine, Daniel, Geuze, François, Just, Bernard, Lebarbenchon, Anne, Scouarnec, Aline, de Vulliod, Claire-Marie, Blancot, Carole (dir.), Gaspardo, Patrick (dir.), 20 années de SIRH et de services RH, Tampere, Atramenta, 2017, 229 p., disponible aux formats PDF, EPUB et broché. - Le cercle SIRH, Le SIRH Enjeux, bonnes pratiques et innovation, Paris, Edition Vuibert, 2017 [3e éd.], 448 p. - Les ressources humaines numériques en 32 témoignages - RH, formation, marque employeur, mooc, Editions Kawa, 2015, 146 p. - La communication de crise à l'heure des médias sociaux, Editions Atramenta, 2012, 100 p., disponible aux formats PDF, EPUB et broché. - Inondé sous les e-mails, résistez !, Edition Hachette Pratique, Février 2013, 224 p. Elle a (co)réalisé en 2015 la première étude portant sur le phénomène du FoMO et sur le niveau de dépendance des Français vis-à-vis des médias sociaux. Twitter : @CaroleBlancot

error: