Lexique de la conformité
Compliance
Conformité aux exigences légales et réglementaires applicables.
Diagnostic de sécurité
Évaluation de la sécurité des données à caractère personnel traitées par une organisation.
Diagnostic de conformité
Évaluation de la conformité d'une organisation aux exigences du RGPD.
DPO
Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
Sa désignation est obligatoire dans certains cas. Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions. Pour garantir l’effectivité de ses missions, le délégué doit disposer de qualités professionnelles et de connaissances spécifiques et doit bénéficier de moyens matériels et organisationnels, des ressources et du positionnement adéquats.
Donnée personnelle
Toute information relative à une personne physique identifiée ou identifiable.
Donnée de santé
Toute information se rapportant à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l'état de santé de cette personne.
Donnée sensible
Une donnée personnelle qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, la santé ou la vie sexuelle d'une personne.
La CNIL
Commission nationale de l'informatique et des libertés, autorité administrative indépendante chargée de veiller à la protection des données à caractère personnel en France.
Loi SAPIN II
La loi « Sapin 2 » vise, d’une part, à renforcer la transparence des procédures de décisions publiques et, d’autre part, à mieux prévenir et à réprimer plus rapidement et sévèrement la corruption. Cette loi permettra de mettre la France au niveau des meilleurs standards internationaux dans le domaine de la transparence, et de l'action contre la corruption.
Mise en conformité au RGPD
Processus qui consiste à s'assurer que les traitements de données à caractère personnel sont conformes aux exigences du RGPD.
Référent RGPD
Personne désignée au sein d'une organisation pour assurer le suivi des problématiques relatives à la protection des données à caractère personnel.
RGPD/GDPR
Règlement Général sur la Protection des Données / General Data Protection Regulation, réglementation européenne qui définit les règles relatives à la protection des données à caractère personnel.
RSE
Responsabilité sociétale des entreprises, démarche qui vise à prendre en compte les enjeux sociaux, environnementaux et économiques dans les activités d'une entreprise.
Sécurité de l'information (dans la logique RGPD)
Ensemble de mesures techniques et organisationnelles visant à garantir la sécurité des données à caractère personnel contre les risques de destruction, de perte, d'altération, de divulgation ou d'accès non autorisé.
Sous-traitant au sens du RGPD
Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation.
Les sous-traitants ont des obligations concernant les données personnelles, qui doivent être présentes dans le contrat :
-
une obligation de transparence et de traçabilité ;
-
la prise en compte des principes de protection des données dès la conception et par défaut ;
-
une obligation de garantir la sécurité des données traitées ;
-
une obligation d’assistance, d’alerte et de conseil (par exemple, une procédure de notification des violations de données personnelles doit être notifiée).
Traitement de données à caractère personnel / Traitement de donnée personnelle
Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement).
Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.
Un traitement de données doit avoir un objectif, une finalité déterminée préalablement au recueil des données et à leur exploitation.
Exemples de traitements : tenue du registre des sous-traitants, gestion des paies, gestion des ressources humaines, etc.
Type de contrôles CNIL
La CNIL réalise différents types de contrôles pour vérifier la conformité des traitements de données à caractère personnel, comme des contrôles sur place, des contrôles à distance ou des audits.