Les termes clés du RGPD expliqués simplement, pour comprendre sans être juriste. Chaque définition renvoie, quand c'est utile, vers un guide ou un dossier plus complet.
RGPD
Règlement général sur la protection des données (règlement UE 2016/679), applicable depuis le 25 mai 2018. Il encadre le traitement des données personnelles des personnes situées dans l'Union européenne.Comprendre le RGPD
Donnée personnelle
Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement : nom, e-mail, numéro de client, adresse IP, identifiant de connexion, etc.
Donnée sensible
Catégorie particulière de données révélant l'origine, les opinions politiques, les convictions religieuses, la santé, la vie sexuelle, les données biométriques ou génétiques. Leur traitement est en principe interdit, sauf exceptions strictes.
Traitement
Toute opération portant sur des données personnelles : collecte, enregistrement, consultation, utilisation, communication, conservation ou suppression, qu'elle soit automatisée ou non.
Responsable de traitement
La personne ou l'organisme qui détermine les finalités (pourquoi) et les moyens (comment) d'un traitement de données. C'est lui qui porte la responsabilité de la conformité.
Sous-traitant
Prestataire qui traite des données personnelles pour le compte du responsable de traitement (hébergeur, outil d'e-mailing, CRM). Un contrat conforme à l'article 28 du RGPD doit encadrer cette relation.
Base légale
Le fondement juridique qui rend un traitement licite. Le RGPD en prévoit six : consentement, contrat, obligation légale, mission d'intérêt public, sauvegarde des intérêts vitaux, et intérêt légitime.
Consentement
Manifestation de volonté libre, spécifique, éclairée et univoque par laquelle une personne accepte un traitement de ses données. Il doit pouvoir être retiré aussi facilement qu'il a été donné.Cookies et consentement
Cookie (ou traceur)
Petit fichier ou identifiant déposé sur le terminal d'un internaute. Les cookies non essentiels (audience, publicité, réseaux sociaux) requièrent un consentement préalable ; les cookies strictement nécessaires en sont dispensés.Audit cookies
CMP (gestionnaire de consentement)
Consent Management Platform : outil qui affiche la bannière de choix et bloque le chargement des traceurs non essentiels tant que l'internaute n'a pas donné son accord.
Finalité
L'objectif précis pour lequel des données sont collectées (ex. : gérer une commande, envoyer une newsletter). Une donnée ne peut pas être réutilisée pour une finalité incompatible avec celle annoncée.
Minimisation
Principe selon lequel on ne collecte que les données strictement nécessaires à la finalité poursuivie — ni plus, ni « au cas où ».
Registre des traitements
Document qui recense l'ensemble des traitements de données d'un organisme (finalités, catégories de données, destinataires, durées). Obligatoire dans la plupart des cas (article 30 du RGPD).Le registre des traitements
DPO (délégué à la protection des données)
Personne chargée de piloter la conformité au RGPD au sein d'un organisme et de faire l'interface avec la CNIL. Sa désignation est obligatoire dans certains cas (traitements à grande échelle, données sensibles, organismes publics).
Analyse d'impact (AIPD / DPIA)
Étude évaluant les risques d'un traitement pour les droits et libertés des personnes. Elle est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé (article 35 du RGPD).
Violation de données
Incident de sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles. Elle doit souvent être notifiée à la CNIL sous 72 heures.
Droit d'accès
Droit pour toute personne d'obtenir la confirmation que ses données sont traitées et d'en recevoir une copie, ainsi que les informations sur ce traitement.Les droits des personnes
Droit à l'effacement
Aussi appelé « droit à l'oubli » : droit d'obtenir la suppression de ses données dans certaines conditions (données non nécessaires, consentement retiré, opposition légitime).
Portabilité
Droit de recevoir ses données dans un format structuré et lisible par machine, et de les transmettre à un autre responsable de traitement, lorsque le traitement repose sur le consentement ou un contrat.
Transfert hors UE
Accès ou envoi de données personnelles vers un pays situé hors de l'Union européenne. Il n'est licite que s'il repose sur une garantie appropriée (décision d'adéquation, clauses contractuelles types, etc.).Transferts de données hors UE
Clauses contractuelles types (CCT / SCC)
Modèles de clauses adoptés par la Commission européenne qui, insérés dans un contrat, encadrent un transfert de données vers un pays tiers en offrant des garanties suffisantes.
CNIL
Commission nationale de l'informatique et des libertés : l'autorité française chargée de veiller à la protection des données personnelles. Elle accompagne, contrôle et peut sanctionner.
Mise en demeure
Décision par laquelle la CNIL enjoint un organisme de se mettre en conformité dans un délai donné. C'est la voie la plus fréquente pour les TPE/PME, généralement sans amende si la correction est effectuée.
Privacy by design
Principe de « protection des données dès la conception » : intégrer la protection de la vie privée dès le départ d'un projet, plutôt que de la rajouter après coup (article 25 du RGPD).
De la théorie à la pratique.
Analysez gratuitement votre site pour voir concrètement où il en est sur ces notions : cookies, sécurité, transferts hors UE.