Lexique M. Robert MALEK DPO IMT

• RGPD : Règlement Général sur la Protection des Données (GDPR : General Data Protection Regulation)
• LIL : Loi Informatique et Libertés
• G29 : Groupe de travail article 29 sur la protection des données (WP29 : Working Party 29)
• CEPD : Comité Européen de la Protection des Données
• CIL : Correspondant Informatique et Libertés
• DPD : Délégué à la Protection des Données (DPO : Data Protection Officer)
• DCP : Donnée à Caractère Personnel
• TDCP : Traitement de Données à Caractère Personnel
• RT : Responsable de Traitement
• ST : Sous-Traitant
• EIVP : Etude d’Impact sur la Vie Privée (PIA : Privacy Impact Assessment – DPIA : Data Protection Impact Assessment)

Définitions (RGPD art. 4) https://wiki.laquadrature.net/Synthèse_du_règlement_sur_la_protection_des_données

• Profilage : Profiling en anglais, est une notion nouvelle et un danger majeur. Il est défini à l'article 4 comme le fait de prendre des décisions adaptées à un individu en particulier et de prédire ses futurs choix, son rendement professionnel, sa situation économique, sa localisation, ses mouvements, sa santé, ses préférences personnelles, sa fiabilité ou son comportement.
  Le profilage constitue un outil très puissant pour les Etats ou les entreprises qui accèdent, collectent ou à qui les données sont transmises. Il peut s'agir, pour une entreprise privée, d'effectuer un profilage des individus, pour mieux connaître leurs habitudes de consommation et davantage cibler ses actions de promotion. Le profilage représente également un intérêt pour les États, à des fins de sécurité publique. Il s'agit ainsi de surveiller une personne ou un groupe de personnes, à partir de leurs données, afin de connaître leurs habitudes de vie, lieux de séjour et déplacements, ainsi que leurs activités et relations internationales. Le profilage doit être interdit s'il est discriminatoire, basé par exemple sur l'origine ethnique ou sur l'opinion d'un utilisateur. Ce n'est pas le cas aujourd'hui, à cause du Conseil de l'UE principalement.
  Les dangers que fait planner cette notion sur les droits fondamentaux des Européens ont été soulignés par E. Massé[11] et l'eurodéputé Jan Albrecht[12].
  
• Pseudonymisation : La définition de données anonymisées a été supprimée par le Conseil de l'Union européenne en faveur de « pseudonymisation ». La pseudonymisation est définie par le traitement de données personnelles de manière à ce que les données ne puissent plus être rattachées à un individu sans être recoupées avec d'autres informations. La définition ajoute que pour qu'un processus de pseudonymisation soit considéré comme réalisé, les autres segments d'information doivent être « gardés séparément » et faire l'objet de mesures techniques et organisationelles assurant qu'elles ne puissent être attribuées à un individu identifié (ou identifiable). Cependant les recherches en ré-identification[6] montrent qu'il est extrêmement facile, à partir de données même « orphelines », de les recouper et d'identifier un individu.Cette définition n'offre pas de garanties suffisantes.
  
• Fuites de données (data breach en anglais) : Elles sont définies comme des failles de sécurité donnant lieu, accidentellement ou de manière illicite, à la destruction, la perte, l'alteration, la divulgation... des données.
  Remarque :: Cette définition est dangereuse : une perte de données (cf. scandale Sony) ne peut pas etre constituée que s'il y a eu une faille de sécurité. Si quelqu'un en interne vole les données, il n'y a alors pas de faille de sécurité, pourtant une fuite de données est bel et bien constituée.
• Consentement : La personne concernée doit donner son accord avant que le responsable puisse procéder au traitement de ses données personnelles (article 6§1). Le Responsable de traitement doit être en mesure de prouver que le consentement a été donné (charge de la preuve) et il est désormais prévu que la personne concernée puisse retirer son consentement aussi aisément qu'elle l'a donné. Ce point est une grande avancée par rapport au droit des données personnelles tel qu'il est appliqué aujourd'hui.
  L'autre grande différence avec la directive de 1995, qui autorisait un consentement passif, est que le considérant 32 prévoit que le consentement ne peut qu'être exprimé par un « acte positif clair ». Par exemple, une case cochée par défaut n'est plus suffisante. Il faut que la personne coche elle-même la case signalant qu'elle a donné son consentement.
  Au sens du considérant 32 et de l'article 4(§11) le consentement doit être :
  
  • libre ;
  • spécifique (c'est à dire, pour un traitement en particulier, il ne vaut que pour la finalité présentée) ;
  • éclairé ;
  • univoque.
  Lorsque le consentement porte sur des données sensibles (dites « catégories particulières de données » dans le règlement, plus données sensibles), un consentement univoque ne suffit plus, il doit être explicite. Pourtant, d'après la définition du consentement à l'article 4(§11), ce dernier est explicite aussi. Qu'on trouve les termes « univoque » et « explicite » (§2(a) de l'art. 9) dans le règlement sera porteur d'incertitude juridique.
  
• Personne concernée (data subject en anglais) : Cette définition n'est pas notable en soi, mais la doctrine[7] est critique sur le fait que la seule distinction (nouvelle) faite parmi les personnes physiques protégées est celle entre adultes et enfants.
  
• Donnée personnelle : Cette définition reprend la définition de la loi Informatique et Libertés, selon laquelle c'est une donnée qui permet, directement ou indirectement, d'identifier une personne physique. Le règlement reprend aussi la distinction entre données personnelles et données sensibles (art. 9), pour lesquelles le règlement innove en imposant un consentement plus marqué lorsqu'il permet un traitement de données sensibles (le consentement doit être « explicite » au lieu de « dénué d'ambiguité » pour les données personnelles non sensibles).
  En ce qui concerne la question de savoir si une adresse IP est une données personnelle, le considérant 24 nous indique qu'elle n'en est pas une. C'est compréhensible dans la mesure où une entreprise entière utilise la même adresse IP. Mais lorsqu'il s'agit d'un usage privé, l'adresse IP est hautement intrusive. C'est pour cette raison que la CNIL a pris position en la matière, en soulignant que pour elle une adresse IP est une donnée personnelle. Rappelons que le G29 (groupe des CNIL européennes) a pris position en la matière dans son avis du 20 juin 2007[8], où il a déclaré que lorsqu'elles sont récoltées pour identifier une personne, les adresses IP sont des données personnelles.
  
• Responsable du traitement (controller en anglais) : Il détermine la finalité et les moyens mis en place pour le traitement. La version de la Commission européenne le rendait aussi responsable des conditions du traitement mais le trilogue l'a déresponsabilisé de cet aspect du traitement. De cette déresponsabilisation découle une difficulté pour le consommateur à savoir qui est responsable de quoi, qui est son interlocuteur en cas de problème ou de question. On observe de ce fait un affaiblissement des recours possibles.
  Il est par ailleurs clair que les moteurs de recherche sont des responsables de traitement au sens du règlement, mais le doute planne quant aux intermédiaires comme les plateformes d'hébergement type Facebook ou Twitter. Ce qui a de lourdes conséquences sur leurs obligations en terme de content takedown (cf. droit à l'oubli, articles 17 et 19) - même s'il est certain qu'ils seront reconnus responsables de traitement avec le temps.
  
• Destinataire (recipient en anglais) : C'est celui qui reçoit des données personnelles. Il peut être une tierce partie. Cependant l'État peut ne pas avoir le statut de destinataire lorsqu'il reçoit des données dans le cadre d'une enquête... Cette disposition permet une déresponsabilisation des États, ce qui peut être dangereux car des mesures de sécurité doivent encadrer la collecte et le traitement de données.
  
• Représentant : Le représentant est une personne morale ou physique établie dans l'Union européenne, qui est expressément désignée par le responsable du traitement ou le sous-traitant, afin de le représenter dans ses obligations. Le représentant peut-être l'avocat de l'entité (société ou autre, comme une association) qui traite les données. Le représentant n'est donc qu'un représentant (conseil juridique ou autre) et n'est pas responsable des actes du responsable du traitement.
  

  Nota : Évolutions lors du processus de négociation :

  La définition de ce que sont des données chiffrées a été supprimée par le Conseil ! C'est le signe inquiétant de la diabolisation rampante du chiffrement. Rappelons que le chiffrement est conseillé dans la Directive e-Privacy de 2002 (cons. 20).