RGPD : le glossaire et la bibliographie du DPO

RGPDLe RGPD est une règlementation européenne qui refond et renforce les droits des personnes physiques pour ce qui concerne la protection de leurs données à caractère personnel.

Adopté le 27/04/2016, entré en vigueur le 24/05/2016 et entré en application le 25/05/2018, le RGPD s’applique à l’ensemble des traitements de données personnelles et concerne toute organisation établie sur le territoire de l’Union (même si le traitement des données s’effectue depuis l’étranger), ainsi que toute organisation établie en dehors de l’Union Européenne traitant de données personnelles de personnes situées sur le territoire de l’Union.

La Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, est entrée en application le 5 mai 2016. Transposée en droit interne par les États membres, ses dispositions sont entrées en vigueur le 6 mai 2018.

Pour se conformer au RGPD, les organisations ont désormais recours à des professionnels exerçant un nouveau métier, celui de DPD (Délégué à la Protection des Données) ou DPO en anglais (Data Protection Officer). À ce jour, 16 000 désignations de DPO ont été enregistrées pour plus de 50 000 organismes.

La liste des pré-requis en termes de compétences et de savoir-faire pour exercer la fonction de DPO est définie par la délibération n° 2018-318 du 20 septembre 2018 portant adoption des critères du référentiel de certification des compétences du délégué à la protection des données (DPO).

Nombreux sont les acronymes faisant partie du jargon de la profession. Cet article recense plus de 100 termes ou acronymes et propose un extrait de la liste des sources documentaires de référence du DPD.

Glossaire du DPO (acronymes et définitions) :

Accountability : L’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

ADIJ : Association pour le Développement de l’Informatique Juridique

AIPD : Analyse d’impact relative à la protection des données (ou « Privacy Impact Assessment » PIA).

Obligation de mener une analyse de l’impact des traitements de données envisagées par l’entité concernée sur la protection des données à caractère personnel des personnes concernées.

L’analyse d’impact s’impose notamment en présence de traitements menant à un profilage ou encore en cas de traitement à grande échelle de données qui révèlent l’origine raciale ou ethnique, les opinions politiques, le convictions religieuses ou philosophiques, une appartenance syndicale, des données génétiques ou biométriques, des données concernant la vie sexuelle ou l’orientation sexuelle… des personnes. La CNIL publiera une liste complémentaire des traitements concernés.

AFCDP : Association Française des Correspondants à la Protection des Données à Caractère Personnel

AFCIN : Association francophone des spécialistes de l’investigation numérique

Analyse d’impact : Description systématique des opérations de traitements (pourquoi effectuer ce traitement sur une donnée et quelle est sa nécessité).

Anonymisation : “Processus par lequel des informations personnellement identifiables (IPI) sont irréversiblement altérées de telle façon que le sujet des IPI ne puisse plus être identifié directement ou indirectement, que ce soit par le responsable du traitement des IPI seul ou en collaboration avec une quelconque autre partie” (ISO 29100:2011).
L’anonymisation constitue un traitement ultérieur des DCP. L’anonymisation peut être le résultat du traitement de DCP dans le but d’empêcher irréversiblement l’identification de la personne concernée. Le résultat de l’anonymisation, en tant que technique appliquée aux DCP, devrait être, dans l’état actuel de la technologie, aussi permanent qu’un effacement, c’est-à-dire qu’il devrait rendre impossible tout traitement de DCP. L’anonymisation ne doit pas être considérée comme un exercice ponctuel : il appartient aux responsables du traitement des données de réévaluer régulièrement les risques associés. À ne pas confondre avec la pseudonymisation.

ANSSI : Agence Nationale de Sécurité des Systèmes d’Information

Archivage : L’archivage consiste à conserver des documents sur support papier ou électronique dans le but de pouvoir les interroger, en permettre l’accès aux personnes autorisées à le faire, et les restituer sur le temps long afin de garantir des droits ou à des fins de recherche. L’archivage vise donc à évaluer et sélectionner les documents utiles à ces fins et à lutter contre tout facteur de dégradation de l’information et notamment, dans le contexte numérique, l’obsolescence rapide des formats de représentation des données, des solutions de lecture de ces formats (logiciels) ainsi que des supports.

Attaques DOS/DDOS : Une attaque par déni de service (abr. DoS attack pour Denial of Service attack en anglais) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. L’attaque peut prendre différentes formes : une saturation de la bande passante du serveur pour le rendre injoignable, un épuisement des ressources système de la machine, l’empêchant ainsi de répondre au trafic légitime.

Authentification / identification : L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité (ANSSI). Un mécanisme d’authentification forte requiert au minimum deux facteurs d’authentification distincts parmi ce que l’on sait (ex. : mot de passe), ce que l’on a (ex. : certificat électronique, carte à puce, etc.) et une caractéristique qui nous est propre (ce que l’on est) (ex. : empreinte digitale ou autre caractéristique biométrique). La loi Informatique et Libertés subordonne le recours à des dispositifs biométriques à l’autorisation préalable de la CNIL. D’une manière générale, la CNIL recommande l’utilisation de biométrie sans traces (contour de la main, réseaux veineux, etc.) ou l’enregistrement des empreintes digitales dans un support individuel. CNIL – PIA – Les bases de connaissances (P. 24)

Autorité de contrôle concernée : Autorité publique indépendante, instituée par un État membre en vertu de l’article 51 du RGPD, et concernée par le traitement de données à caractère personnel parce que :

  • le responsable du traitement ou le sous-traitant est établi sur le territoire de l’État membre dont cette autorité de contrôle relève ;
  • des personnes concernées résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être ; ou
  • une réclamation a été introduite auprès de cette autorité de contrôle.

BDRIJ : Brigades Départementales de Renseignement et d’Investigation Judiciaire

BEFTI : Brigade d’Enquête sur les Fraudes aux TIc

BIOS : Le BIOS, de l’anglais Basic Input Output System (en français : « système élémentaire d’entrée/sortie ») est un ensemble de fonctions, contenu dans la mémoire morte (ROM) de la carte mère d’un ordinateur, lui permettant d’effectuer des opérations de base, lors de sa mise sous tension. Par exemple, l’identification des périphériques d’entrée/sortie connectés et la lecture d’un secteur sur un disque, un CD ou une partie d’une clé USB. Par extension, le terme est souvent utilisé pour décrire l’ensemble du micrologiciel de la carte mère. C’est en quelque sorte le centre de contrôle de la carte mère. Sur les cartes récentes il est remplacé par sa version moderne l’UEFI.

Botnet : Un botnet (de l’anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches.

BYOIoT : “Bring Your Own IoT”. Appareils connectés à des réseaux distants externes (de type cloud) utilisés par les employés.

Capacité d’audit : Mécanismes organisationnels destinés à s’assurer de l’efficacité et de la pertinence des mesures mises en œuvre. Participe à l’amélioration continue de la sécurité du S.I.

CERT : Computer Emergency Response Team. Les CERT émettent des bulletins d’alerte et des avis.

Les CERT français :

  • CERT IST (Industrie Service Tertiaire)
  • CERT RENATER (Enseignement supérieur et recherche)
  • CERTA (Administration), hébergé au sein du COSSI
  • Autres CERT : La Poste, Orange, BNP-Paribas, Société Générale CERT commerciaux : Lexsi, Devoteam, XMCO

C-NTECH :  Correspondants en technologies numériques (C : Ntech)

CESIN : Club des Experts de la Sécurité de l’Information et du Numérique

Cybercriminalité : Ensemble des actes contrevenants aux traités internationaux ou aux lois nationales utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible.

Chiffrement : Le chiffrement ou cryptage est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. Ce principe est généralement lié au principe d’accès conditionnel. Bien que le chiffrement puisse rendre secret le sens d’un document, d’autres techniques cryptographiques sont nécessaires pour communiquer de façon sûre. Pour vérifier l’intégrité ou l’authenticité d’un document, on utilise respectivement un Message Authentication Code (MAC) ou une signature numérique (Wikipédia).

Chiffrement RSA : Le chiffrement RSA (nommé par les initiales de ses trois inventeurs) est un algorithme de cryptographie asymétrique, très utilisé dans le commerce électronique, et plus généralement pour échanger des données confidentielles sur Internet. Cet algorithme a été décrit en 1977 par Ronald Rivest, Adi Shamir et Leonard Adleman. RSA a été breveté par le Massachusetts Institute of Technology (MIT) en 1983 aux États-Unis. Le brevet a expiré le 21 septembre 2000 (Wikipédia)

Chiffrement TLS : TLS signifie “Transport Layer Security”. Il s’agit là aussi d’un protocole de sécurité, assurant la confidentialité des informations échangées entre des applications et leurs utilisateurs sur internet. TLS fait également en sorte d’éviter que des tiers puissent altérer ou falsifier les messages. Il est constitué de deux couches : le Protocole TLS Record (enregistrement) et le Protocole TLS Handshake (“poignée de main”). Le premier fournit une connexion sécurisée grâce aux méthodes comme DAE (Data Encryption Standard, ou “standard de cryptage de données” en français). Il peut également être utilisé sans cryptage. Le second protocole, lui, permet au serveur et à l’ordinateur de s’identifier l’un à l’autre puis de choisir ensemble un algorithme de cryptage et des clés secrètes avant de commencer à s’envoyer des données ou des messages

CNIL : La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du 6 janvier 1978 modifiée le 6 août 2004

COBIT : Référentiel de bonnes pratiques d’audit informatique et de gouvernance des Systèmes d’information d’origine américaine

Consentement de la personne concernée : Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Contrôles d’accès logiques : Mécanismes permettant de restreindre l’accès en lecture/écriture/suppression aux ressources aux seules personnes dument habilitées

Cryptographie asymétrique : La cryptographie asymétrique est un domaine de la cryptographie où il existe une distinction entre des données publiques et privées, en opposition à la cryptographie symétrique où la fonctionnalité est atteinte par la possession d’une donnée secrète commune entre les différents participants. La cryptographie asymétrique peut être illustrée avec l’exemple du chiffrement à clef publique et privée, qui est une technique de chiffrement, c’est-à-dire que le but est de garantir la confidentialité d’une donnée. Le terme asymétrique s’applique dans le fait qu’il y a deux clefs de chiffrement (que l’utilisateur qui souhaite recevoir des messages fabrique lui-même), telles que si l’utilisateur utilise une première clef dans un algorithme dit «de chiffrement», la donnée devient inintelligible à tous ceux qui ne possèdent pas la deuxième clef, qui peut retrouver le message initial lorsque cette deuxième clef est donnée en entrée d’un algorithme dit «de déchiffrement» (Wikipédia)

Cryptologie (moyens et prestations) : Conformément à l’article 29 de la LCEN, « On entend par prestation de cryptologie toute opération visant à la mise en œuvre, pour le compte d’autrui, de moyens de cryptologie ». Les prestations de cryptologie doivent faire l’objet d’une déclaration de fourniture d’une prestation de cryptologie auprès de l’ANSSI. On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

Datagramme : Le datagramme est un paquet de données dans un réseau informatique ou un réseau de télécommunications. Il est utilisé par des protocoles orientés « non connectés » tels que : IPX ou UDP. Le datagramme est le terme généralement utilisé pour désigner la transmission d’un paquet via un service non « fiable » : le protocole utilisé ne garantit pas que le paquet est arrivé à sa destination (un peu comme une lettre sans accusé de réception) (Wikipédia)

Data protection officer (DPO) : Personne dans une organisation dont le rôle est de contrôler la mise en conformité au RGPD (DPD en français pour Délégué à la Protection des Données).

DCP : Données à Caractère Personnel. Toute information se rapportant à une personne physique identifiée ou identifiable (dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Exemples : prénom, nom, matricule ou autre identifiant codé, adresse IP, adresse du domicile, numéro de téléphone, CV, etc.
Les données personnelles recouvrent tout ce qui a trait à la vie privée et familiale de la personne, à ses activités et cela, quel que soit le support utilisé (papier, numérique, courriel, enregistrement vocaux…).
L’appréciation se fait au regard des moyens dont dispose le responsable de traitement pour permettre l’identification.

DCPJ : La direction centrale de la Police judiciaire (DCPJ) est l’une des directions actives de la direction générale de la Police nationale du ministère de l’Intérieur français

Destinataire : Personne habilitée à recevoir communication des données et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données (sauf autorités légalement habilitées).

DGSI : Direction Générale de la Sécurité Intérieure

DICP : Indicateurs de sécurité des systèmes d’information, Disponibilité, Intégrité, Confidentialité, Preuve (cette dernière est parfois remplacée par la Traçabilité : on parle donc aussi parfois de DICT)

Digital Forensic : Criminalistique numérique

DLP : Le terme Data Loss Prevention (DLP) fait référence à un ensemble de techniques qui permettent d’identifier, de contrôler et de protéger l’information grâce à des analyses de contenu approfondies, que l’information soit stockée, en mouvement ou traitée. L’objectif est de limiter la fuite de données sensibles, que cette dernière soit accidentelle ou intentionnelle

DMIA : La durée maximale d’interruption admissible (DMIA) est l’expression de besoin de disponibilité des différents métiers ou services, dans une organisation. Elle est aussi appelée le DIMA pour délai d’indisponibilité maximal autorisé ou admissible

DMZ : En informatique, une zone démilitarisée, ou DMZ (en anglais, demilitarized zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et d’Internet (ou d’un autre réseau) par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d’être accessibles depuis Internet, et qui n’ont pas besoin d’accéder au réseau local

DRM : Digital Rights Management ou GDN (Gestion des Droits Numériques). Mesures techniques de protection (MTP) adoptées pour contrôler l’utilisation qui est faite des œuvres numériques. Une architecture de gestion des droits numériques est basée sur le chiffrement des œuvres

Données biométriques-Données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques

Données concernant la santé : Données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne

Données génétiques : Données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question

DPO – DPD : Le Data Protection Officer (DPO) ou Délégué à la Protection des Données (DPD) est la personne désignée par l’organisation pour faciliter la mise en conformité de celle-ci au RGPD depuis l’adoption du RGPD. Successeur du CIL (Correspondant Informatique et Libertés), ses compétences sont élargies et sa fonction est récente. Acteur majeur créé par le RGPD, il a pour vocation de renforcer la protection de la vie privée des personnes concernées par les traitements mis en œuvre par chaque organisation. Point de contact privilégié de l’autorité de contrôle nationale, le DPD est aussi chargé de déterminer si une étude d’impact doit être réalisée et le cas échéant, il pilote celle-ci.

Droit à la portabilité : Ce droit permet aux utilisateurs de récupérer leurs données personnelles dans un format lisible pour les stocker ou les transmettre à un tiers.

DRM-PKI : Une architecture DRM (Digital Rights Management) peut être logicielle ou matérielle. Elle permet la gestion numérique des droits. Une infrastructure à clés publiques (ICP) ou infrastructure de gestion de clés (IGC) ou encore Public Key Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs, des équipements cryptographiques logiciels ou matériel type HSM ou encore des cartes à puces), de procédures humaines (vérifications, validation) et de logiciels (système et application) destiné à gérer les clés publiques des utilisateurs d’un système.

Droit d’effacement (droit à l’oubli) : Ce droit impose à l’organisme l’obligation d’effacer les données à caractère personnel sous plusieurs motifs, sans délai pour les mineurs et dans les plus brefs délais pour les personnes concernées majeures.

DTLS : En informatique, le protocole Datagram Transport Layer Security (DTLS) fournit une sécurisation des échanges basés sur des protocoles en mode datagramme. Le protocole DTLS est basé sur le protocole TLS et fournit des garanties de sécurité similaires (Wikipédia)

EBIOS : Méthode d’évaluation des risques en informatique (depuis 1995) désormais maintenue par l’ANSSI depuis 2009

Établissement principal :

  • En ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal ;
  • En ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union ou, si ce sous-traitant ne dispose pas d’une administration centrale dans l’Union, l’établissement du sous-traitant dans l’Union où se déroule l’essentiel des activités de traitement effectuées dans le cadre des activités d’un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du RGPD.

Evénement redouté : Violation potentielle de données pouvant mener à des impacts sur la vie privée des personnes concernées.

Fichier : Ensemble structuré et stable de données à caractère personnel, accessibles selon des critères déterminés (les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d’application du RGPD)

Fonction de hachage : On nomme fonction de hachage, de l’anglais hash function (hash : pagaille, désordre, recouper et mélanger) par analogie avec la cuisine, une fonction particulière qui, à partir d’une donnée fournie en entrée, calcule une empreinte servant à identifier rapidement la donnée initiale, au même titre qu’une signature pour identifier une personne. Les fonctions de hachage sont utilisées en informatique et en cryptographie notamment pour reconnaître rapidement des fichiers ou des mots de passe (Wikipédia)

Forensics (investigation numérique) : Ensemble des protocoles et de mesures permettant de rechercher des éléments techniques sur un conteneur de données numériques en vue de répondre à un objectif technique en respectant une procédure de préservation du conteneur.

Freeware : Le logiciel gratuit (gratuiciel, ou freeware) est un logiciel propriétaire distribué gratuitement sans toutefois conférer à l’utilisateur certaines libertés d’usage

GPOS : Les stratégies de groupe (ou GP pour Group Policy) sont des fonctions de gestion centralisée de la famille Microsoft Windows. Elles permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory. Les stratégies de groupe font partie de la famille des technologies IntelliMirror, qui incluent la gestion des ordinateurs déconnectés, la gestion des utilisateurs itinérants ou la gestion de la redirection de dossiers ainsi que la gestion des fichiers en mode déconnecté. Les stratégies de groupe sont gérées à travers des objets de stratégie de groupe communément appelés GPO (Group Policy Objects)

Guichet unique : Dans le cas de flux transfrontiers au sein de multinationales faisant intervenir plusieurs autorités de contrôle nationales, les États membres peuvent ne traiter qu’avec l’autorité de contrôle de l’État membre dans lequel la multinationale a son établissement principal. Une décision de contrôle unique sera prise.

Gravité : Estimation de l’ampleur des impacts potentiels sur la vie privée des personnes concernées (dépend du caractère préjudiciable des impacts potentiels.

HIDS : Sur les systèmes HIDS, des applications de protection, comme les pare-feu, les antivirus et les programmes de détection des logiciels espions, sont installées sur tous les ordinateurs d’un réseau à accès bidirectionnel à un environnement extérieur, comme Internet.

IAM : La Gestion des Identités et des Accès (IAM) est un terme générique désignant les processus internes d’une entreprise permettant d’administrer et de gérer les comptes utilisateurs et les ressources du réseau de l’entreprise, y compris les droits d’accès des utilisateurs aux applications et aux systèmes.

IDS – IPS : Sondes d’intrusion (équipements de sécurité de l’infrastructure réseau). Les IDS (systèmes de détection des intrusions) analysent le trafic réseau pour détecter des signatures correspondant à des cyberattaques connues. Les IPS (systèmes de prévention des intrusions) analysent également les paquets et peuvent bloquer ceux-ci en fonction du type d’attaques qu’ils détectent.

ICC : Investigateurs en CyberCriminalité

IGC : Une infrastructure à clés publiques (ICP) ou infrastructure de gestion de clés (IGC) ou encore Public Key Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs, des équipements cryptographiques logiciels ou matériel type HSM ou encore des cartes à puces), de procédures humaines (vérifications, validation) et de logiciels (système et application) destiné à gérer les clés publiques des utilisateurs d’un système

IOT (Internet Of Things) ou en français l’Internet des objets connectés. L’Internet des Objets est le réseau des objets physiques qui embarquent des technologies pour communiquer et interagir avec l’environnement externe selon leurs états internes.

IRCGN : L’Institut de Recherche Criminelle de la Gendarmerie nationale (IRCGN) est une unité de la Gendarmerie nationale française, chargée des aspects scientifiques des investigations

Licéité : Le fondement de licéité ou le caractère licite d’un traitement est respecté si au moins l’une des conditions, ci-après, est satisfaite :

  • La personne a consenti au traitement ;
  • Le traitement est nécessaire à l’exécution d’un contrat ;
  • Le traitement est nécessaire au respect d’une obligation légale ;
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
  • Le traitement est nécessaire aux fins des intérêts légitimes (et privés) poursuivis par le responsable du traitement ou par un tiers.

Menace : Mode opératoire composé d’une ou plusieurs actions unitaires sur des supports de données (utilisée volontairement ou non, par des sources de risques, et peut provoquer un événement redouté).

Mesure : Action à entreprendre (elle peut être technique ou organisationnelle et peut consister à mettre en œuvre des principes fondamentaux ou à éviter, réduire, transférer ou prendre tout ou partie des risques.

MITM : L’attaque de l’homme du milieu (HDM) ou man-in-the-middle attack (MITM), parfois appelée attaque de l’intercepteur, est une attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l’internaute lambda.

NAC : Un contrôleur d’accès au réseau (network access control ou NAC) est une méthode informatique permettant de soumettre l’accès à un réseau d’entreprise à un protocole d’identification de l’utilisateur et au respect par la machine de cet utilisateur des restrictions d’usage définies pour ce réseau

NIDS : Sur les systèmes NIDS, un logiciel de protection est installé uniquement à des points spécifiques, comme les serveurs qui établissent l’interface entre l’environnement extérieur et le segment de réseau à protéger

NOS : Network Operating System, système d’exploitation de supercalculateur de la Control Data Corporation.

NTECH : Désigne un enquêteur de la Gendarmerie nationale spécialisé dans les nouvelles technologies et en particulier dans la cybercriminalité.

OCLCTIC : Office Central de Lutte Contre la Criminalité liée aux TIC

OIV : Organismes d’Importance Vitale

OSI : Open Systems Interconnection (norme de communication, en réseau, de tous les systèmes informatiques)

PAS : Le PAS (Plan d’Assurance Sécurité) répertorie toutes les références de sécurité sur lesquelles s’appuie l’entreprise pour assurer la sécurité des services qu’elle propose. L’objectif est ici de répondre notamment aux exigences des articles 34 et 35 de la loi informatique et libertés du 6 janvier 1978 modifiée qui imposent au responsable de traitement et à son sous-traitant de mettre tous les moyens en œuvre pour assurer la sécurité et la confidentialité des données. Notons ici que le Règlement Européen pour la protection des données est venu renforcer cette obligation en instaurant un quasi régime de co-responsabilité entre le client et son prestataire

PASSI : Prestataires d’Audit de la Sécurité des SI

PDIS : Prestataires de Détection des Incidents de Sécurité

PDMA : La perte de données maximale admissible (PDMA ou parfois PDAM), en anglais Recovery Point Objective (RPO) quantifie les données qu’un système d’information peut être amené à perdre par suite d’un incident. Usuellement, elle exprime une durée entre l’incident provoquant la perte de données et la date la plus récente des données qui seront utilisées en remplacement des données perdues. Cette durée est exprimée généralement en heures ou minutes.

Pentesteur (Ethical Hacking) : Contraction de « penetration test » (test d’intrusion en français), le métier de pentesteur consiste à contrôler la sécurité de tout un ensemble d’applications Web, à identifier toutes les failles de sécurité d’un système en réalisant des tests d’intrusion (c’est-à-dire des attaques contrôlées grandeur nature)

Personne concernée : Personnes auxquelles se rapportent les données faisant l’objet du traitement (Loi I&L, RGPD).

Personne habilitée : Personne habilitée à recevoir communication des données et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données (sauf autorités légalement habilitées)

PGP : Pretty Good Privacy (en français : « assez bonne confidentialité »), plus connu sous le sigle PGP, est un logiciel de chiffrement cryptographique, développé et diffusé aux États : Unis par Philip Zimmermann en 1991. PGP se propose de garantir la confidentialité et l’authentification pour la communication des données. Il est souvent utilisé pour la signature de données, le chiffrement et le déchiffrement des textes, des courriels, fichiers, répertoires et partitions de disque entier pour accroître la sécurité des communications par courriel. Utilisant la cryptographie asymétrique mais également la cryptographie symétrique, il fait partie des logiciels de cryptographie hybride.

PHAROS : Plateforme d’Harmonistation, d’Analyse, de Recoupement et d’Orientation des Signalements (émis par les internautes et professionnels relatifs aux escroqueries et extorsions, atteintes aux mineurs, actes xénophobes, racistes et discriminatoires)

PSSI : La Politique de Sécurité des Systèmes d’Information (PSSI) est un plan d’actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration, État, unions d’États…) en matière de sécurité des systèmes d’information (SSI)

PRIS : Prestataires de Réponse aux Incidents de Sécurité

Privacy by design : Protection de la vie privée dès la conception («Privacy by design»). Toute nouvelle technologie traitant des données personnelles ou permettant d’en traiter doit garantir dès sa conception et lors de chaque utilisation, même si elle n’a pas été prévue à l’origine, le plus haut niveau possible de protection des données.

Profilage : Toute forme de traitement automatisé de données personnelles visant à évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

Pseudonymisation : Traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable

Règles d’entreprises contraignantes (BCR – Business Corporate Rules) : Règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe.

Représentant : Personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27 du RGPD, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement.

Responsable de traitement : Personne physique ou morale, autorité publique, service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et moyens du traitement.

RGPD : Règlement n°2016/679, dit règlement général sur la protection des données (GDPR : The EU General Data Protection Regulation).

Risque : Scénario décrivant un événement redouté et toutes les menaces qui le rendent possible

RSSI : Responsable de la Sécurité des Systèmes d’Information

Serveur mandataire : Un serveur proxy (ou serveur mandataire) est un serveur (un système ou une application) qui agit comme un intermédiaire pour les requêtes d’ordinateurs clients vers d’autres serveurs

SGDSN : Secrétariat Général de la Défense et de la Sécurité Nationale

Shareware : Le shareware est un logiciel commercial distribué gratuitement aux utilisateurs, disponible pour une période limitée ou une période d’essai et qui expire après un nombre de jours défini

Signature numérique : La signature numérique (parfois appelée signature électronique) est un mécanisme permettant de garantir l’intégrité d’un document électronique et d’en authentifier l’auteur, par analogie avec la signature manuscrite d’un document papier. Elle se différencie de la signature écrite par le fait qu’elle n’est pas visuelle, mais correspond à une suite de caractères (Wikipédia)

Sonde IDS : Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives réussies comme échouées des intrusions

Source de risque : Personne ou source non humaine qui peut être à l’origine d’un risque (de manière accidentelle ou délibérée).

Sous-traitant : Personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable de traitement

SRTP : Secure Real-time Transport Protocol (ou SRTP) définit un profil de RTP (Real-time Transport Protocol) qui a pour but d’apporter le chiffrement, l’authentification et l’intégrité des messages et la protection contre le rejeu (replay) de données RTP. SRTP fonctionne à la fois en envoi ciblé (unicast) et en multidiffusion (multicast) (Wikipédia)

SSH Secure shell-Secure SHell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion

SSID : Service Set Identifier (clé alphanumérique identifiant de manière unique un réseau sans fil à partir d’une chaîne de caractère de 0 à 32 octets)

SSL : Le SSL, pour Secure Socket Layer, est un protocole de sécurité qui permet de sécuriser les échanges d’informations entre des appareils reliés à un réseau interne ou à Internet. Le plus souvent, le SSL est le protocole que l’on utilise pour se connecter en toute sécurité sur un serveur Web depuis un navigateur afin d’effectuer, notamment, une transaction bancaire en ligne. On repère assez facilement sa présence grâce à l’affichage d’un petit cadenas dans la barre d’adresse du navigateur et du protocole https

STAD : Système de Traitement Automatisé de Données

STRJD : Le Service central de renseignement criminel (SCRC), anciennement Service technique de recherches judiciaires et de documentation (STRJD), est un organisme central de police judiciaire de la Gendarmerie nationale française formant avec l’Institut de Recherches Criminelles de la Gendarmerie Nationale (IRCGN) et l’observatoire central des systèmes de transports intelligents (OCSTI), le Pôle Judiciaire de la Gendarmerie Nationale

Support de données : Bien sur lequel reposent les données (matériels, logiciels, canaux informatiques, personnes, supports papier ou canaux de transmission papier)

Tiers : Personne physique ou morale, autorité publique, service ou organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel

TLS / SSL : Transport Layer Security (TLS) ou Sécurité de la couche de transport, et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de sécurisation des échanges sur Internet. Le protocole SSL a été développé à l’origine par Netscape. L’IETF en a poursuivi le développement en le rebaptisant Transport Layer Security (TLS). On parle parfois de SSL/TLS pour désigner indifféremment SSL ou TLS. (Wikipédia)

TRACFIN : Traitement du Renseignement et Action contre les Circuits FINanciers clandestins

Traitement de données à caractère personnel : L’article 4 du RGPD définit un traitement comme “toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de DCP, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction”.

Traitement transfrontalier :

  • un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ;

ou

  • un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

Violation de données à caractère personnel : Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données

VPN : Un réseau privé virtuel, abrégé VPN – Virtual Private Network, est un système permettant de créer un lien direct entre des ordinateurs distants, en isolant ce trafic

Vraisemblance : Estimation de la possibilité qu’un risque se réalise (dépend des vulnérabilités exploitables et des capacités des sources de risques à les exploiter)

W3C : Le World Wide Web Consortium, abrégé par le sigle W3C, est un organisme de standardisation à but non lucratif, fondé en octobre 1994 chargé de promouvoir la compatibilité des technologies du World Wide Web telles que HTML5, HTML, XHTML, XML, RDF, SPARQL, CSS, XSL, PNG, SVG et SOAP (Wikipédia)

WebRTC : WebRTC (Web Real-Time Communication, littéralement « communication en temps réel pour le Web ») est une interface de programmation (API) JavaScript développée au sein du W3C et de l’IETF. […] Le but du WebRTC est de lier des applications comme la voix sur IP, le partage de fichiers en pair à pair en s’affranchissant des modules d’extensions propriétaires jusqu’alors nécessaires (Wikipédia)

WIDS : Système de détection d’intrusion sans fil, fournissant une sécurité contre les attaques sans fil

WSUS : Windows Server Update Services (WSUS) est un service permettant de distribuer les mises à jour pour Windows et d’autres applications Microsoft sur les différents ordinateurs fonctionnant sous Windows au sein d’un parc informatique. WSUS est un rôle pour serveur Windows lui permettant ainsi de devenir un serveur de mises à jour local (ou proxy de mises à jour). Ce serveur télécharge et stocke ponctuellement l’ensemble des mises à jour disponibles auprès des serveurs Windows Update de Microsoft et rend possible le contrôle de la diffusion de celles-ci dans le parc.

Extrait de textes de référence

RGPD (Règlement pour la Protection des Données)

Union Européenne. (2016, 27 avril). Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). (Texte présentant de l’intérêt pour l’EEE). Récupéré de https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

Loi Informatique et libertés :

UE

CNIL :

Code civil :

Article 9 (protection de l’intimité de la vie privée)

Code du travail :

  • Article L1121-1 (principe de proportionnalité, droits et libertés dans l’entreprise)
  • Article L1221-6 (limitation des données collectées et des traitements, principe de proportionnalité)
  • Articles L1222-3, L1222-4 et L1221-9 (information des employés)
  • Article L2312-38 (information/consultation du comité social et économique s’agissant des méthodes de recrutement et moyens de contrôle de l’activité des salariés)

Code pénal :

  • Articles 226-1 (protection de la vie privée, enregistrement de l’image d’une personne à son insu dans un lieu privé)
  • Articles 226-16 à 226-24 (sanctions applicables : formalités préalables à la collecte de données personnelles, mesures obligatoires, licéité, consentement pour les traitements relatifs aux données sensibles…)
    • Article 226-18 (collecte déloyale ou illicite)
    • Article 226-20 (durée de conservation excessive)
    • Article 226-21 (détournement de la finalité du dispositif)
  • Article R625-10 (absence d’information des personnes)
  • Articles 323-1 à 323-3 (fraudes informatiques : atteintes portées au fonctionnement d’un Système de Traitement Automatisé de Données)

G29

Légifrance

Autres

Pour aller plus loin et tester vos connaissances

Si vous vous intéressez comme moi à la protection des données personnelles, avant ou après avoir été désigné(e) DPO, vous pourrez tester vos connaissances en suivant le MOOC que la CNIL a mis en ligne en mars 2019. L’atelier RGPD de la CNIL se compose de 4 modules à suivre et à valider à son rythme :

  1. MODULE 1 : LE RGPD ET SES NOTIONS CLÉS
  2. MODULE 2 : LES PRINCIPES DE LA PROTECTION DES DONNÉES
  3. MODULE 3 : LES RESPONSABILITES DES ACTEURS
  4. MODULE 4 : LE DPO ET LES OUTILS DE LA CONFORMITÉ

Au terme de la formation, une attestation de suivi est téléchargeable dès lors que vous atteignez 100% de progression au niveau de chaque module et un score d’au moins 80% à chaque évaluation :

Attestion suivi Mooc CNIL

Testez la maturité RGPD des pratiques RH de votre organisation avec ce quiz !

Votre résultat :  

Votre niveau :  

Articles sur le même sujet :

Carole Blancot À propos de Carole Blancot

Carole Blancot est conférencière, formatrice, co-auteure de plusieurs ouvrages, blogueuse, psychosociologue clinicienne psychothérapeute (Numéro ADELI : 78 93 1059 6), IPRP (n°IDF/2018/34), présidente de SpotPink (agence de communication pour les acteurs des domaines RH et SIRH), et DPO (Désignation CNIL : N° DPO-37620 et N° DPO-37624).
Elle intervient par exemple en entreprise pour faciliter la négociation du droit à la déconnexion et la mise en œuvre des outils et des mesures de régulation associées. Elle met aujourd'hui son passé de consultante RH au service d'interventions psychosociologiques dans des contextes qui sont parfois compliqués. Elle maîtrise les tenants et aboutissants du RGPD. C'est, par ailleurs, une spécialiste de la production de contenu pour les sujets traitant de la gestion des RH, du SIRH (Système d’Information en Ressources Humaines) et des médias sociaux. Elle a (co)réalisé en 2015 la première étude portant sur le phénomène du FoMO et sur le niveau de dépendance des Français vis-à-vis des médias sociaux. Twitter : @CaroleBlancot

error: ©SpotPink