Le glossaire de référence sur la protection des données

Quelles sont les règles qui régissent la protection des données personnelles ?

La protection des données consiste essentiellement à empêcher que des informations à caractère personnel présentes en ligne ne soient volées, perdues ou utilisées de manière abusive. Son but est de protéger toute information concernant une personne physique identifiée ou identifiable, notamment les noms, les dates de naissance, les photographies, les adresses électroniques. Elle vise à garantir le traitement (collecte, utilisation, stockage) loyal des données à caractère personnel. La sécurité est donc un élément essentiel de la protection des données personnelles. 

Nos activités en ligne sont de plus en plus nombreuses dans tous les domaines de notre vie privée comme professionnelle et génèrent d'incroyables quantités de données. Parmi celles-ci figurent aussi bien des renseignements très sensibles et privés (comme des informations bancaires) que l'historique de ce que vous avez regardé récemment sur des plateformes de streaming ! 

Plus nous produisons de données, plus il est important de veiller à leur confidentialité et à leur protection. C'est pourquoi 71 % des pays disposent aujourd'hui d'une législation spécifique et que 9 % sont en train d'en élaborer une. Protéger ces données requiert à la fois des systèmes garantissant la confidentialité des mots de passe et le stockage adapté d'éléments tels que des photographies et des souvenirs personnels afin de pouvoir les récupérer facilement en cas de perte ou d'altération. Si la protection juridique en la matière continue de se développer, il est cependant toujours utile de savoir exactement comment, pourquoi et où vos données sont utilisées, en particulier dans le cas des entreprises privées. D'ailleurs, en France, 7 personnes sur 10 sont préoccupées par le fait que les sites web collectent des informations et 71 % des gens ont le sentiment que leurs données personnelles sont mal protégées.

La Cnil (Commission Nationale de l'Informatique et de Liberté) veille à ce que les citoyens accèdent efficacement aux données personnelles les concernant. Chaque personne peut s’adresser à la Cnil en cas de difficulté en lui adressant une plainte.

Toutes les solutions de protection des données étant relativement nouvelles, la plupart d'entre elles s'accompagnent d'une terminologie spécifique. Pour vous aider, voici un glossaire présentant les termes les plus importants à connaître. Vous pourrez ainsi vous familiariser avec le vocabulaire utilisé par les sites web et les entreprises dans le domaine de la protection des données, et enfin tout comprendre.  

Glossaire de la protection des données sur Internet

Anonymisation

Afin qu'il soit impossible d'identifier des personnes à partir d'un ensemble de données, ce procédé technique et complexe permet de rendre anonymes toutes les informations recueillies, et ce de manière irréversible. Autrement dit, les données anonymisées ne pourront plus jamais être réattribuées à un individu. 

Blockchain

La blockchain est une base de données qui contient l’historique de toutes les transactions effectuées entre de multiples utilisateurs/ordinateurs et qui fonctionne sans organe central de contrôle. Chaque transaction est stockée dans un bloc. Une fois la transaction vérifiée par chaque utilisateur (il n'y a pas d'intermédiaire), ce bloc est relié au précédent, créant ainsi une chaîne. Il s'agit d'une méthode sécurisée de suivi des actifs ou des données.

Chiffrement

Le chiffrement ou cryptage est un processus qui consiste à modifier des informations ou des données afin de les rendre illisibles, en les faisant apparaître sous la forme d'un code secret aléatoire. Ce code secret ne peut être déverrouillé qu'avec une clé numérique unique que seul le destinataire possède.

Conservation des données


Les politiques de conservation des données définissent le type de données qui seront conservées, la durée de conservation des données collectées et l'endroit où elles doivent être stockées. Au terme de la période choisie, ces données peuvent être supprimées ou déplacées vers un autre lieu de stockage. 

Convention 108


Cette convention, datant du 28 janvier 1981, est le premier et le seul traité international juridiquement contraignant en matière de protection des données. Visant à garantir la protection des données personnelles d'un individu par les organisations aussi bien publiques que privées, cette convention a été signée par les membres de l'Union européenne. Elle a depuis été modernisée pour s'aligner sur la loi plus récente du règlement général sur la protection des données (RGPD, voir plus bas).

Cookies


Lorsqu'on visite un nouveau site web, on nous demande si l'on accepte ou refuse les cookies (souvent dans un bandeau ou une fenêtre pop-up). Stockés dans le navigateur, ces fichiers provenant du site mémorisent les informations relatives à notre navigation (les articles ajoutés dans notre panier, notre langue préférée, etc.). Ces informations permettent, par exemple, une publicité plus ciblée et des recommandations personnalisées.

Cookies tiers

Il s'agit d'un ensemble spécial de cookies placés sur l'appareil de l'utilisateur par un site web autre que celui que l'utilisateur est en train de visiter. Ils servent généralement à suivre le comportement de l'utilisateur sur plusieurs sites web, souvent à des fins de publicité ciblée ou d'analyse. Selon le règlement général sur la protection des données, les sites Internet ne peuvent pas stocker de cookies tiers sans le consentement de l'utilisateur.

Courtier en données

Un courtier en données peut être une entreprise ou une personne. Il collecte, regroupe et éventuellement analyse les données personnelles de personnes physiques pour les vendre à d'autres entreprises ou personnes. Ces données personnelles proviennent généralement de sources publiques telles que les réseaux sociaux, les dossiers judiciaires, les bans de mariage, le cadastre ou les recensements.

Data mining


Ce terme anglophone utilise l'image de l'exploitation minière pour l'appliquer aux données. Ce processus consiste à extraire et à trier de grandes quantités de données brutes afin d’identifier des liens entre ces données et de les transformer en informations utiles et exploitables. L'objectif est d’aider les entreprises à améliorer leur fonctionnement, à réduire leurs coûts et/ou à augmenter leur chiffre d’affaires.

Délégué à la protection des données (DPO)

Le délégué à la protection des données est la personne en charge de mettre en œuvre la conformité à la réglementation sur la protection des données personnelles au sein d'une organisation. En anglais, DPO signifie Data Protection Officer.

Données à caractère personnel

Toute donnée concernant une personne en particulier et permettant de l'identifier est considérée comme une donnée à caractère personnel. Il s'agit généralement de données sensibles, comme des informations financières ou médicales, son adresse, sa date de naissance, son numéro de sécurité sociale ou ses empreintes digitales. 

Données agrégées 

Collectées auprès de divers individus, ces données sont dépourvues d'informations personnelles ou sensibles. Elles ne permettent donc pas d'identifier une personne en particulier. Les données agrégées sont, par exemple, celles qui sont recueillies lors de l'analyse du trafic web et qui sont utilisées par les propriétaires de sites web pour savoir combien de personnes ont visité leur page au cours d'une journée.

Données biométriques

Les empreintes digitales, l'iris, la voix ou l'ADN sont quelques exemples de données biométriques. Il s'agit de données recueillies à partir d'informations personnelles fondées sur des caractéristiques physiques, biologiques, voire comportementales. S'agissant de données sensibles, leur usage est réservé à la mise en place de mesures d'authentification supplémentaires, comme pour déverrouiller un smartphone, accéder à un lieu ou à une application bancaire en ligne. 

Données pseudonymisées

La pseudonymisation des données à caractère personnel est un traitement qui supprime les caractéristiques individuelles permettant une identification de la personne concernée.


Données sensibles

Il s'agit d'une catégorie spéciale de données à caractère personnel. Les données sensibles portent notamment sur :

• l’origine prétendument raciale ou ethnique,
• les opinions politiques,
• les convictions religieuses ou philosophiques ou l'appartenance syndicale,
• l’orientation sexuelle,
• les données génétiques ou biométriques.

Elles requièrent donc une protection supplémentaire. Le règlement européen interdit la collecte ou l'utilisation de ces données sans un consentement explicite. Cette interdiction ne s'applique pas dans des cas très spécifiques comme le respect d'obligations légales, la sauvegarde de la vie humaine, une utilisation justifiée par l'intérêt public ou les activités légitimes de certaines organisations à but non lucratif.

Droit à l'effacement (ou « droit à l'oubli »)

Le droit à l'effacement, aussi appelé droit à l'oubli, vous permet de demander la suppression ou le retrait de vos données à caractère personnel des systèmes d'information d'une entreprise ou d'Internet lorsqu'elles ne sont plus pertinentes ou nécessaires, ou lorsque vous retirez votre consentement dans le cadre du RGPD ou de lois similaires.

Droit d'accès


Pour certains types de données collectées, vous êtes autorisé à demander une copie gratuite à l'entité qui les a en sa possession. Vous pouvez ainsi savoir quelles informations sont collectées à votre sujet, pourquoi elles sont collectées et comment elles sont utilisées. Ce droit d'accès permet également de vérifier l'exactitude des données et, au besoin, de les faire rectifier ou effacer.

Informations accessibles au public

Il s'agit d'informations librement accessibles au grand public telles que les profils sur les réseaux sociaux, les données de recensement, les numéros de téléphone répertoriés, les dossiers judiciaires, les blogs, etc.

Mégadonnées

Également connues sous le nom anglais de « big data », les mégadonnées sont des ensembles colossaux de données numériques générés très rapidement par plusieurs sources. Toutes ces données sont ensuite rassemblées et analysées dans le but d'acquérir de nouvelles connaissances. Les mégadonnées permettent ainsi de créer de nouvelles opportunités dans de nombreux domaines comme la médecine, la recherche scientifique, l'écologie, le commerce, etc.

Personne concernée


La personne concernée est un utilisateur final dont les données à caractère personnel peuvent être recueillies.

Portabilité des données

La portabilité des données est le droit de récupérer vos données personnelles pour un usage personnel ou pour transmettre à un tiers de votre choix. Cela vous donne la possibilité de demander vos données dans un format structuré et couramment utilisé afin de les transmettre facilement à un autre système ou fournisseur de services.

Profilage

Le profilage est le traitement automatisé de données à caractère personnel afin d'évaluer certaines caractéristiques d'une personne, tels que son comportement, ses préférences ou ses performances, souvent à des fins de marketing ou d'évaluation des risques. Le but est de créer un profil permettant de prédire ou d'influencer des actions futures.

Protection de la marque

Les entreprises doivent mettre en œuvre des stratégies visant à s'assurer que leurs publicités ou leurs contenus numériques ne portent pas préjudice à la réputation de leur marque. Il s'agit notamment d'éviter de placer des publicités à proximité de contenus inappropriés, offensants ou dommageables qui pourraient nuire à l'image de la marque ou à la confiance des consommateurs.

Règlement général sur la protection des données (RGPD)

Le RGPD est une règlement européenne adoptée en 2018 qui encadre le traitement des données personnelles sur le territoire de l'Union européenne. Il s'applique aux entreprises du monde entier si ces dernières collectent des données en provenance de l'UE. Le RGPD s’inscrit dans la continuité de la loi française « Informatique et Libertés » de 1978, modifiée par la loi du 20 juin 2018, relative à la protection des données personnelles, établissant des règles sur la collecte et l’utilisation des données sur le territoire français.

Responsable de traitement


Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine pourquoi et comment traiter les données collectées. Il peut s'agir d'une personne détenant des informations personnelles et privées sur une autre personne, comme un médecin, ou d'une grande entreprise internationale comme Facebook (Meta). 

Sous-traitant


Le sous-traitant est une entité distincte comme un comptable ou une société d'études de marché, chargée de traiter les données pour le compte du responsable du traitement une fois qu'elles ont été collectées, dans le cadre d’un service ou d’une prestation.

Tiers

Dans le cadre de la protection des données à caractère personnel, un tiers est une personne, une agence, une entreprise, une organisation ou une autorité publique autre que de l'entité initiale qui a collecté vos données, et qui est également autorisée à y accéder.

Traitement

Le traitement est un terme générique qui englobe une série d'activités effectuées avec vos données, notamment leur obtention, leur organisation, leur adaptation, leur consultation et leur effacement. 

Violation de données

Une violation de données est un incident de sécurité qui concerne généralement des données sensibles, personnelles et confidentielles. Cet incident peut être d'origine malveillante comme lors d'une cyberattaque au cours de laquelle une personne ou une organisation qui n'a pas légalement accès aux données (pirate informatique) les vole dans le système. Les données volées risquent ensuite d'être rendues publiques, vendues ou utilisées pour d'autres fraudes et escroqueries variées comme l'usurpation d'identité. 


Source : Cnil

À lire aussi :

• Alertes fraudes et points de vigilance
• Comment réagir en cas de virus ou de piratage informatique ?