Lexique M. Robert MALEK DPO IMT
- RGPD : Règlement Général sur la Protection des Données (GDPR : General Data Protection Regulation)
- LIL : Loi Informatique et Libertés
- G29 : Groupe de travail article 29 sur la protection des données (WP29 : Working Party 29)
- CEPD : Comité Européen de la Protection des Données
- CIL : Correspondant Informatique et Libertés
- DPD : Délégué à la Protection des Données (DPO : Data Protection Officer)
- DCP : Donnée à Caractère Personnel
- TDCP : Traitement de Données à Caractère Personnel
- RT : Responsable de Traitement
- ST : Sous-Traitant
- EIVP : Etude d’Impact sur la Vie Privée (PIA : Privacy Impact Assessment – DPIA : Data Protection Impact Assessment)
Définitions (RGPD art. 4) https://wiki.laquadrature.net/Synthèse_du_règlement_sur_la_protection_des_données
L'article 4 resence les notions utilisées dans le règlement.
- Profilage : Profiling en anglais, est une notion nouvelle et
un danger majeur. Il est défini à l'article 4 comme le fait de prendre
des décisions adaptées à un individu en particulier et de prédire ses
futurs choix, son rendement professionnel, sa situation économique, sa
localisation, ses mouvements, sa santé, ses préférences personnelles, sa
fiabilité ou son comportement.
Le profilage constitue un outil très puissant pour les Etats ou les
entreprises qui accèdent, collectent ou à qui les données sont
transmises. Il peut s'agir, pour une entreprise privée, d'effectuer un
profilage des individus, pour mieux connaître leurs habitudes de
consommation et davantage cibler ses actions de promotion. Le profilage
représente également un intérêt pour les États, à des fins de sécurité
publique. Il s'agit ainsi de surveiller une personne ou un groupe de
personnes, à partir de leurs données, afin de connaître leurs habitudes
de vie, lieux de séjour et déplacements, ainsi que leurs activités et
relations internationales. Le profilage doit être interdit s'il est
discriminatoire, basé par exemple sur l'origine ethnique ou sur
l'opinion d'un utilisateur. Ce n'est pas le cas aujourd'hui, à cause du
Conseil de l'UE principalement.
Les dangers que fait planner cette notion sur les droits fondamentaux
des Européens ont été soulignés par E. Massé[11] et l'eurodéputé Jan
Albrecht[12].
- Pseudonymisation : La définition de données anonymisées
a été supprimée par le Conseil de l'Union européenne en faveur de «
pseudonymisation ». La pseudonymisation est définie par le traitement de
données personnelles de manière à ce que les données ne puissent plus
être rattachées à un individu sans être recoupées avec d'autres
informations. La définition ajoute que pour qu'un processus de
pseudonymisation soit considéré comme réalisé, les autres segments
d'information doivent être « gardés séparément » et faire l'objet de
mesures techniques et organisationelles assurant qu'elles ne puissent
être attribuées à un individu identifié (ou identifiable). Cependant les
recherches en ré-identification[6] montrent qu'il est extrêmement
facile, à partir de données même « orphelines », de les recouper et
d'identifier un individu.Cette définition n'offre pas de garanties
suffisantes.
- Fuites de données (data breach en anglais) : Elles
sont définies comme des failles de sécurité donnant lieu,
accidentellement ou de manière illicite, à la destruction, la perte,
l'alteration, la divulgation... des données.
Remarque :: Cette
définition est dangereuse : une perte de données (cf. scandale Sony) ne
peut pas etre constituée que s'il y a eu une faille de sécurité. Si
quelqu'un en interne vole les données, il n'y a alors pas de faille de
sécurité, pourtant une fuite de données est bel et bien constituée.
- Consentement : La personne concernée doit donner
son accord avant que le responsable puisse procéder au traitement de ses
données personnelles (article 6§1). Le Responsable de traitement doit
être en mesure de prouver que le consentement a été donné (charge de la
preuve) et il est désormais prévu que la personne concernée puisse
retirer son consentement aussi aisément qu'elle l'a donné. Ce point est
une grande avancée par rapport au droit des données personnelles tel
qu'il est appliqué aujourd'hui.
L'autre grande différence avec la directive de 1995, qui autorisait un
consentement passif, est que le considérant 32 prévoit que le
consentement ne peut qu'être exprimé par un « acte positif clair ». Par
exemple, une case cochée par défaut n'est plus suffisante. Il faut que
la personne coche elle-même la case signalant qu'elle a donné son
consentement.
Au sens du considérant 32 et de l'article 4(§11) le consentement doit être :
- libre ;
- spécifique (c'est à dire, pour un traitement en particulier, il ne vaut que pour la finalité présentée) ;
- éclairé ;
- univoque.
Lorsque le consentement porte sur des données sensibles (dites «
catégories particulières de données » dans le règlement, plus données
sensibles), un consentement univoque ne suffit plus, il doit être
explicite. Pourtant, d'après la définition du consentement à l'article
4(§11), ce dernier est explicite aussi. Qu'on trouve les termes «
univoque » et « explicite » (§2(a) de l'art. 9) dans le règlement sera
porteur d'incertitude juridique.
- Personne concernée (data subject en anglais) :
Cette définition n'est pas notable en soi, mais la doctrine[7] est
critique sur le fait que la seule distinction (nouvelle) faite parmi les
personnes physiques protégées est celle entre adultes et enfants.
- Donnée personnelle : Cette définition reprend la
définition de la loi Informatique et Libertés, selon laquelle c'est une
donnée qui permet, directement ou indirectement, d'identifier une
personne physique. Le règlement reprend aussi la distinction entre
données personnelles et données sensibles (art. 9), pour lesquelles le
règlement innove en imposant un consentement plus marqué lorsqu'il
permet un traitement de données sensibles (le consentement doit être «
explicite » au lieu de « dénué d'ambiguité » pour les données
personnelles non sensibles).
En ce qui concerne la question de savoir si une adresse IP est une
données personnelle, le considérant 24 nous indique qu'elle n'en est pas
une. C'est compréhensible dans la mesure où une entreprise entière
utilise la même adresse IP. Mais lorsqu'il s'agit d'un usage privé,
l'adresse IP est hautement intrusive. C'est pour cette raison que la
CNIL a pris position en la matière, en soulignant que pour elle une
adresse IP est une donnée personnelle. Rappelons que le G29 (groupe des
CNIL européennes) a pris position en la matière dans son avis du 20 juin
2007[8], où il a déclaré que lorsqu'elles sont récoltées pour
identifier une personne, les adresses IP sont des données personnelles.
- Responsable du traitement (controller en anglais) : Il
détermine la finalité et les moyens mis en place pour le traitement. La
version de la Commission européenne le rendait aussi responsable des
conditions du traitement mais le trilogue l'a déresponsabilisé de cet
aspect du traitement. De cette déresponsabilisation découle une
difficulté pour le consommateur à savoir qui est responsable de quoi,
qui est son interlocuteur en cas de problème ou de question. On observe
de ce fait un affaiblissement des recours possibles.
Il est par ailleurs clair que les moteurs de recherche sont des
responsables de traitement au sens du règlement, mais le doute planne
quant aux intermédiaires comme les plateformes d'hébergement type
Facebook ou Twitter. Ce qui a de lourdes conséquences sur leurs
obligations en terme de content takedown (cf. droit à l'oubli, articles
17 et 19) - même s'il est certain qu'ils seront reconnus responsables de
traitement avec le temps.
- Destinataire (recipient en anglais) : C'est celui
qui reçoit des données personnelles. Il peut être une tierce partie.
Cependant l'État peut ne pas avoir le statut de destinataire lorsqu'il
reçoit des données dans le cadre d'une enquête... Cette disposition
permet une déresponsabilisation des États, ce qui peut être dangereux
car des mesures de sécurité doivent encadrer la collecte et le
traitement de données.
- Représentant : Le représentant est une personne
morale ou physique établie dans l'Union européenne, qui est expressément
désignée par le responsable du traitement ou le sous-traitant, afin de
le représenter dans ses obligations. Le représentant peut-être l'avocat
de l'entité (société ou autre, comme une association) qui traite les
données. Le représentant n'est donc qu'un représentant (conseil
juridique ou autre) et n'est pas responsable des actes du responsable du
traitement.
Nota : Évolutions lors du processus de négociation :
La définition de ce que sont des données chiffrées a été supprimée par
le Conseil ! C'est le signe inquiétant de la diabolisation rampante du
chiffrement. Rappelons que le chiffrement est conseillé dans la
Directive e-Privacy de 2002 (cons. 20).