2008

Sécurité des données : Assurer la sécurité des données, c’est pouvoir garantir la confidentialité des données qui y figurent et disposer, en permanence, d’un outil de travail fiable. La Cnil préconise l’adoption de mesures de sécurité physique et logique, qui doivent être adaptées en fonction de l’utilisation qui est faite de l’ordinateur et sa configuration. Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès (L. 1978, art. 34).

Sectorisation (principe de) : Ce principe est appliqué principalement à l’occasion de la mise en place d’un fichier négatif. Il consiste à réserver les informations collectées à un secteur économique, qui seul est en droit de les partager. La mise en oeuvre et l’accès à un fichier de « mauvais payeurs » doivent être limités à un secteur et aux seuls professionnels du secteur. Une large diffusion, tous secteurs confondus, des informations relatives à des mauvais payeurs serait une atteinte disproportionnée à la vie privée, en raison du risque de détournement de finalités.

Sanction pécuniaire : Sanction que la Cnil peut prononcer à l’encontre du responsable d’un traitement, si ce dernier ne se conforme pas à la mise en demeure qui lui est adressée après une procédure contradictoire. Le montant de la sanction pécuniaire est proportionné à la gravité des manquements commis et aux avantages tirés de ces manquements. Lors du premier manquement, il ne peut excéder 150 000 euros. En cas de manquement réitéré dans les cinq années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder 300 000 euros ou, s’agissant d’une entreprise, 5 % du chiffre d’affaires HT du dernier exercice clos dans la limite de 300 000 euros (L. 1978, art. 45 et 47).

Responsable du traitement de données à caractère personnel : Sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens 1 (L. 1978, art. 3). La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire (Dir. 95/46/CE du 24 octobre 1995). (1) Exemple : la personne qui décide d’utiliser un logiciel pour recenser des informations sur des clients en vue d’assurer le suivi d’un contrat est responsable d’un traitement de données à caractère personnel.

Résilience : Capacité d’un système informatique ou télécom à continuer à fonctionner malgré l’existence d’une panne

Rectification (droit de) : Droit pour toute personne physique justifiant de son identité d’exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. Si l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées (L. 1978, art. 40).

Ratio mc donough : Ratio visant à mesurer, de façon fine, l’ensemble des risques auxquels la banque est exposée (risques de crédits, risques opérationnels, etc.) au moyen de systèmes informatiques de surveillance et de notation de la clientèle plus sophistiqués. Ce nouveau ratio a fait l’objet d’un accord sectoriel négocié au plan international (accord Bâle II).

Protection adéquat (niveau de) : Personne physique ou morale désignée par le responsable du traitement et chargée d’assurer le respect des obligations prévues par la loi Informatique et libertés (L. 1978, art. 22 II). Une telle désignation entraîne la dispense des formalités de déclaration normale et simplifiée pour les traitements en relevant, sauf si ces traitements prévoient un transfert de données à destination d’un Etat non membre de l’Union européenne.

Prospection directe : Envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services (Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique).

Proportionnalité (principe) : Le traitement d’informations nominatives doit être proportionné à la finalité déclarée, c’est-à-dire qu’il doit s’effectuer de façon adéquate, pertinente, non excessive et strictement nécessaire à l’objectif poursuivi. Les droits et libertés ne peuvent être restreints que si cette restriction est justifiée par la nature des tâches à accomplir et proportionnée au but recherché.

Procédure d’autorisation : Les formalités dites d’« autorisation » s’appliquent aux traitements qui sont susceptibles de porter atteinte à la vie privée et aux libertés, compte-tenu de leurs finalités et de leurs caractéristiques. L’article 25 de la loi Informatique et libertés vise huit catégories de traitements. La demande d’autorisation est composée d’un formulaire et d’annexes, qui doivent permettre à la Cnil de déterminer si le traitement concerné apporte des garanties suffisantes vis-à-vis des droits et libertés des personnes physiques (L. 1978, art. 25).

Prestation d’itinérance locale : Prestation qui est fournie par un opérateur de radiocommunications mobiles à un autre opérateur de radiocommunications mobiles en vue de permettre, sur une zone qui n’est couverte, à l’origine, par aucun opérateur de radiocommunications mobiles de deuxième génération, l’accueil, sur le réseau du premier, des clients du second (Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique).

Prestation de cryptologie : Toute opération visant à la mise en oeuvre, pour le compte d’autrui, de moyens de cryptologie (Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique).

POP-UP : Fenêtre du logiciel de navigation qui s’ouvre automatiquement lors d’une visite d’un site web ou lorsque l’internaute le quitte. Il s’agit, le plus souvent, d’une publicité.

Personne concernée par un traitement : Personne à laquelle se rapportent les données qui font l’objet du traitement.

Peer to peer : Le terme « peer to peer » (pair à pair) désigne des protocoles de communication permettant aux internautes de procéder à des échanges gratuits, notamment d’oeuvres musicales ou de films, sur l’internet. Lorsque ces échanges s’effectuent d’internaute à internaute, on parle d’architecture « peer to peer » décentralisée.

Opposition (droit d’) : Droit pour toute personne physique « de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Ce droit s’exerce sans frais lorsque les données la concernant sont utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur » (L. 1978, art. 38).

Navigateur : Personne physique ou morale désignée par le responsable du traitement et chargée d’assurer le respect des obligations prévues par la loi Informatique et libertés (L. 1978, art. 22 II). Une telle désignation entraîne la dispense des formalités de déclaration normale et simplifiée pour les traitements en relevant, sauf si ces traitements prévoient un transfert de données à destination d’un Etat non membre de l’Union européenne.

Mise en demeure : Mesure que la Cnil peut prononcer à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la présente loi. Elle peut ainsi mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu’elle fixe (L. 1978, art. 45 I).

Mesures techniques et d’organisation liées à la sécurité : Mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement (Décis. n° 2002/16/CE du 27 décembre 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46).

Licéité du traitement : Conditions que doit respecter le traitement figurant dans le chapitre II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : les données doivent être collectées de manière loyale et licite ; elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ; elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ; elles sont conservées sous une forme permettant l’identification des personnes concernées, pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (L. 1978, art. 6).

Mesure de sécurité : Possibilité, pour le président de la Cnil, de demander, par voie de référé, à la juridiction compétente, d’ordonner, en cas d’atteinte grave et immédiate aux droits et libertés, le cas échéant, sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés (L. 1978, art. 45 III).

Messagerie : Fonction de l’internet, dont le but est de permettre l’échange des messages. La messagerie peut être individuelle (mèl ou mail en anglais) ou collective (forum de discussion).