Connectez-vous
logiciel rgpd
  1. 1 - Qu’est-ce que le RGPD ?
    1. 2 - Comprendre le RGPD en 20 mots-clés

      Lexique 2024 : comprendre le RGPD en 20 mots-clés

      RGPDJanuary 4, 2024

      Le RGPD, dont le sigle signifie Règlement Général pour la Protection des Données, est un texte adopté par le Parlement européen en 2016 et entré en vigueur le 25 mai 2018. Après une période d’adaptation pour les entreprises ou les contrôles de la CNIL étaient non punitifs, le RGPD est désormais bel et bien applicable et contrôlé, avec sanctions potentielles à la clé.

      Qu’est-ce que le RGPD ?

      Le RGPD (en anglais, GDPR) est le texte européen de référence pour la protection des données des résidents de l’Union européenne. Il a été conçu pour harmoniser les normes des Etats-membres et doter l’Europe d’un seul et même cadre réglementaire sur ces sujets.

      Or ceux-ci concernent beaucoup de monde : en effet, la condition pour entrer dans le champ d’application du RGPD est de collecter ou traiter des données personnelles de résidents européens. Autrement dit, le RGPD concerne aussi bien une entreprise française, par exemple, qu’une société américaine ayant des activités en Europe.

      Par ailleurs, la notion de données personnelles est très large (on y reviendra juste après) et une grande partie des entreprises sont amenées à en collecter, que cette donnée provienne de leurs clients ou de leurs salariés.

      En d’autres termes, l’entrée en vigueur du RGPD a une signification très importante pour les entreprises européennes ou agissant en Europe, puisque la réglementation encadre de façon assez stricte leurs pratiques.

      Pourtant, de plus en plus d'entreprises se font sanctionner par la CNIL pour des manquements au RGPD.

      Jusqu'à présent, une seule entrepriuse a réussi à "contourner" le RGPD. Découvrez le cas Lusha.

      Comprendre le RGPD en 20 mots-clés

      Accountability : l’accountability est un principe fondamental du RGPD. Le terme signifie que ce sont les entreprises qui doivent mettre en place les mesures de protection des données suffisantes et qu’elles doivent pouvoir en justifier (en rendre compte). D’où la documentation juridique nécessaire à construire (AIPD, registre des traitements…)

      Analyse d’impact : L’analyse d’impact, autrement appelée AIPD ou PIA (en anglais : Privacy Impact Assessment) est à la fois un document et une étape de la gestion de projets. Dans certains cas, il est nécessaire de mener cette analyse qui a pour but d’anticiper les scénarios possibles pouvant porter atteinte à la vie privée des personnes concernées. Le DPO (voir plus loin) propose ou prévoit des mesures visant à limiter ce risque.`

      Anonymisation : l’anonymisation est une des méthodes de protection des données mentionnées par le RGPD. Il s’agit d’un ensemble de mesures techniques permettant de casser définitivement le lien entre un jeu de données et la personne concernée. A ne pas confondre avec une autre technique, la pseudonymisation, qui poursuit les mêmes objectifs mais n’est pas définitive.

      Audit des sous-traitants : Les sous-traitants au sens du RGPD (voir plus loin) doivent être audités par le responsable du traitement. En effet, la responsabilité de ce dernier peut être engagée en cas de manquement au RGPD, même si c’est le sous-traitant qui en est à l’origine.

      CMP : Ce sigle signifie Consent Management Platform. Il s’agit d’un espace, en général accessible sur le site web de l’entreprise, qui permet à l’utilisateur de connaître les collectes et les traitements dont il est l’objet et de modifier ses préférences en matière de consentement. Par exemple, c’est là qu’il va pouvoir refuser l’activation des cookies.

      CNIL : La CNIL est l’autorité de contrôle du RGPD pour la France. Chaque Etat-membre comprend l’équivalent de la CNIL et une autorité européenne chapeaute leurs missions et s’assure que le contrôle du RGPD soit cohérent au niveau européen.

      Consentement : C’est un des principes fondamentaux du RGPD. Le consentement est une des raisons autorisant une entreprise à collecter et traiter des données personnelles. Si ce n’est qu’une raison parmi d’autres, elle est toutefois très fréquemment invoquée (pour le dépôt de cookies, l’envoi de newsletters ou d’emails…). Le consentement doit répondre à certaines conditions pour être valide et il peut être retiré à tout moment par la personne concernée.

      Cookies : Les fameux cookies et autres traceurs sont une des faces bien visibles du RGPD pour les sites web. C’est bien le RGPD qui impose la mise en place des célèbres bandeaux de cookies et qui nécessite que le consentement des utilisateurs soit recueilli avant leur dépôt et leur activation (sauf pour ceux qui sont nécessaires au bon fonctionnement du site).

      Cybersécurité : La cybersécurité tient un rôle essentiel dans le respect des normes de protection de la vie privée. En effet, c’est elle qui prévient les fuites ou vols de données et qui peut limiter leur impact, par exemple par la mise en place de l’anonymisation des données.

      Données personnelles : Le RGPD donne la signification précise du terme “données personnelles”. Il s’agit de “toute information se rapportant à une personne physique identifiée ou identifiable”. On pense au nom, adresse email, mais aussi à un ensemble de données qui rendent la personne identifiable, comme dans certains cas son profil de recherche internet par exemple.

      Données sensibles : Les données sensibles sont une catégorie de données personnelles qui revêtent un caractère particulier en raison de leur nature : elles portent notamment sur des informations de santé, sur des appartenances religieuses, l’orientation sexuelle, etc.

      DPO : Le DPO pour Data Protection Officer ou Délégué à la Protection des Données (DPD) en français est le chef d’orchestre de la conformité des entreprises au RGPD. C’est lui qui est en charge de l’application de la réglementation dans l’entreprise. A noter qu’il n’existe pas toujours de DPO dans les organisations notamment en fonction de leur taille.

      Des solutions comme Witik, proposent des DPO externalisé et digitalisé.

      Durée de conservation : une donnée personnelle doit répondre à certains critères pour être collectée, mais une fois cela fait, cela ne signifie pas que vous pouvez les conserver à vie ! La durée de conservation des données est précisée par les textes en fonction de leur nature et est un volet important de la conformité au RGPD.

      Finalité du traitement : La finalité du traitement est un élément essentiel dans la gestion des données personnelles selon le RGPD, assurant que les données sont collectées et traitées de manière transparente, équitable et légale, avec un objectif clairement défini et justifié.

      Exercice des droits : L’exercice des droits des personnes doit être facilitée par les entreprises, selon les termes du RGPD. Ces droits recouvrent le droit à l’oubli, à la suppression des données les concernant, le droit d’accès à ces données ou encore la portabilité.

      Registre des traitements : Le registre des traitements est un document majeur à tenir à jour pour la conformité de votre entreprise. Le registre RGPD rassemble l’ensemble des opérations de traitement menées par l’entreprise et qui en détaille les responsables et les principales caractéristiques. En vertu du principe d’accountability, il permet de prouver que vous menez une politique conforme au règlement européen.

      Responsable de traitement : Le responsable de traitement est la personne qui décide de l’opération et pour laquelle elle est réalisée. Il s’agit le plus souvent de l’entreprise qui conduit le traitement, mais celui-ci peut être opéré par un sous-traitant (voir plus loin) agissant pour le compte du responsable.

      Sanctions : Eh oui, un manquement aux obligations du RGPD peut donner lieu à des sanctions… c’est la CNIL qui les prononce, et elles peuvent atteindre jusqu’à 20 millions d’euros ou 4% du CA mondial de l’entreprise !

      Sous-traitant : le sous-traitant au sens du RGPD est un prestataire qui effectue une opération de traitement pour le compte d’un tiers, qui est le responsable du traitement. A noter qu’il est possible d’être à la fois sous-traitant et responsable de traitement (il faut dans ce cas remplir deux registres des traitements).

      Traitement de données : Ce terme désigne une opération portant sur des données personnelles. Il s’agit aussi bien de la collecte, de la modification, de la consultation des données… et chaque traitement doit avoir un objectif, qu’on nomme finalité du traitement.

      Si vous souhaitez en découvrir plus sur le monde du RGPD, nous vous conseillons de télécharger notre livre blanc : Les 6 étapes de la mise en conformité au RGPD - Le guide complet

      Télécharger le livre blanc

      La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

      Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !
      • All rights reserved ©Witik 2024