2008

Déclaration simplifiée (procédure de) : Formulaire destiné à simplifier l’obligation de déclaration remis à la Cnil et comportant l’engagement, par le responsable du traitement, que le traitement satisfait aux exigences de la loi Informatique et libertés. La Cnil, en application de son pouvoir réglementaire, apprécie si des types de traitements ne sont pas susceptibles de porter atteinte à la vie privée ou aux libertés. Sur de telles considérations, la Cnil établit et publie des normes. Pour les traitements répondant à ces normes, seule une déclaration de conformité à l’une de ces normes est déposée auprès de la Cnil. Cette formalité constitue, de la part du responsable, un engagement à respecter la totalité des prescriptions et des caractéristiques, précisées de manière stricte dans le texte de la norme simplifiée.

Déclaration ordinaire (procédure de) : Formulaire et annexes remis à la Cnil et comportant l’engagement par le responsable du traitement que le traitement satisfait aux exigences de la loi Informatique et libertés.

Déclaration de modification et de suppression : Le déclarant est tenu d’informer la Cnil de tout changement affectant les informations figurant dans les déclarations, demandes d’autorisation et demandes initiales. Lorsque l’examen de la modification fait apparaître la création d’un nouveau traitement, le déclarant doit présenter une nouvelle déclaration, demande d’autorisation ou d’avis. Toute suppression définitive d’un traitement doit également être portée à la connaissance de la Cnil. La déclaration de suppression concerne l’abandon d’un traitement automatisé de données à caractère personnel mais, en aucun cas, lorsqu’il y a simplement archivage des données ou des résultats de raisonnements programmés ou encore expiration du délai légal de conservation du traitement.

Décision : Aucune décision de justice impliquant une appréciation sur le comportement d’une personne ne peut avoir pour fondement un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité. Aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité. Ne sont pas regardées comme prises sur le seul fondement d’un traitement automatisé les décisions prises dans le cadre de la conclusion ou de l’exécution d’un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes de la personne concernée (L. 1978, art. 10).

CRM (Customer relationship management – Gestion de la relation client) : La gestion de la relation client a pour but d’organiser et de planifier les activités avant et après vente. Assurée par une application informatique, elle permet à la fois d’organiser et d’automatiser l’ensemble des relations avec les prospects et clients, comme de constituer des profils clients. La gestion de la relation client est multicanal car elle s’effectue par l’intermédiaire du courrier traditionnel, du courriel, du web, du téléphone, du fax.

Crédit report : Le « crédit report » ou « rapport de renseignement » est un fichier regroupant des informations non seulement sur les crédits mais également sur l’ensemble des avoirs et dettes d’un consommateur et sur des données à caractère personnel le concernant. Il comprend donc des éléments positifs, tels que les éléments d’identification de la personne, employeurs, revenus, logement, informations de nature fiscale, type et historique des crédits et des remboursements, et des éléments négatifs, tels qu’incidents de paiement, autres incidents. Ces fichiers sont alimentés par les informations communiquées par les établissements de crédit, par une réutilisation des données publiques ou à partir des informations communiquées directement par la personne. Le fichier ne peut être consulté que par une personne l’ayant alimenté.

Courrier électronique : Tout message, sous forme de texte, de voix, de son ou d’image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l’équipement terminal du destinataire, jusqu’à ce que ce dernier le récupère (Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique).

Correspondant presse : Possibilité pour les organismes de presse écrite ou audiovisuelle, depuis la loi du 6 août 2004 modifiant la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (L. 1978, art. 67), de ne pas déclarer les traitements mis en oeuvre à des fins de journalisme, sous la condition qu’ils désignent un correspondant à la protection des données. Cette faculté permet de concilier la liberté de la presse avec la protection de la vie privée. Cette désignation est portée à la connaissance de la Cnil.

Cookie : Un cookie est un ensemble d’informations envoyé par serveur http dans un fichier texte situé sur l’ordinateur client, qui est ensuite automatiquement renvoyé lors de chaque nouvelle connexion à ce serveur http. La technique des cookies repose sur le protocole http, c’est-à-dire le protocole du web. Les informations contenues dans un cookie ne peuvent être lues que par le serveur web qui a initialement envoyé le cookie. Un cookie est rattaché à un nom de domaine et un ensemble d’URL. Ainsi, les serveurs web ne pourront, en aucun cas, lire les cookies envoyés par d’autres serveurs web.

Contrôle sur place : Accès aux membres de la Cnil, ainsi qu’aux agents de ses services habilités, de 6 heures à 21 heures, pour l’exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère professionnel et qui sont à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé. Le procureur de la République territorialement compétent en est préalablement informé. En cas d’opposition du responsable des lieux, la visite ne peut se dérouler qu’avec l’autorisation du président du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter ou du juge délégué par lui (L. 1978, art. 44). Les modalités de ce contrôle sont précisées par le règlement intérieur de la Cnil (Délib. n° 2004-088 du 18 novembre 2004 modification les articles 55 à 62 du règlement intérieur). Une délibération de la Cnil a habilité certains de ses agents à procéder à des vérifications et en donne la liste (Délib. n° 2004-085 du 9 novembre 2004).

Conservation (durée) : Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées, pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (L. 1978, art. 6 5°). La Cnil détermine des durées de conservation de référence, dans le cadre de ses dispenses de déclaration et normes simplifiées, qui doivent être respectées pour pouvoir en bénéficier.

Consentement : Toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement (Dir. n° 95/46/CE du 24 octobre 1995). Toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe (Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique) correspond au « consentement de la personne concernée » figurant dans la directive 95/46/CE (Dir. n° 2002/58/CE du 12 juillet 2002). Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes : le respect d’une obligation légale incombant au responsable du traitement ; la sauvegarde la vie de la personne concernée ; l’exécution d’une mission de service public, dont est investi le responsable ou le destinataire du traitement ; l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures pré-contractuelles prises à la demande de celle-ci ; la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée (L. 1978, art. 7).

Collecte directe : Données à caractère personnel recueillies directement auprès de la personne concernée.

Collecter : Il s’agit de recueillir des données à caractère personnel. Cette collecte peut s’effectuer, notamment, à l’aide de questionnaires ou de formulaires en ligne. Si cette dernière est effectuée à l’insu des personnes, la collecte est alors considérée comme déloyale.

Chat : Application permettant aux internautes de discuter en ligne, en direct et en temps réel. Les messages sont pris instantanément en connaissance et les utilisateurs peuvent ainsi y répondre, grâce à une interface, qui peut être un logiciel ou des sites proposant cette possibilité.

Carte d’identité électronique : Carte comportant une puce électronique intégrant, en outre, des informations, telles que le nom du titulaire, sa photographie, sa signature, ses empreintes digitales. Le ministère de l’Intérieur envisage la mise en place d’une telle carte incorporant des identifiants biométriques.

Biométrie : « La biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques sont des données à caractère personnel car elles permettent d’identifier une personne. Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitale, etc.). Elles se rapprochent ainsi de ce qui pourrait être défini comme un « identificateur unique universel » permettant de fait le traçage des individus » (27e rapport d’activité p. 13).

Avis motivé : L’avis motivé est pris par la Commission nationale de l’informatique et des libertés dans le cadre de traitements de données à caractère personnel mis en oeuvre pour le compte de l’Etat et autorisés par arrêté du ou des ministres compétents et : qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ; qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté. L’avis de la Commission est publié avec l’arrêté autorisant le traitement. Ceux des traitements qui portent sur des données dites « sensibles » sont autorisés par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission ; cet avis est publié avec le décret autorisant le traitement. Certains des traitements mentionnés ci-dessus peuvent être dispensés, par décret en Conseil d’Etat, de la publication de l’acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l’acte, le sens de l’avis émis par la Commission (L. 1978, art. 26).

Avertissement : Sanction que peut prononcer la Cnil à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la présente loi (L. 1978, art. 45).

Autocommutateur : Il s’agit de standards téléphoniques permettant d’orienter les numéros de téléphone appelants et les numéros de téléphone appelés. Ils permettent d’identifier des communications téléphoniques qui relèveraient d’un usage non professionnel et comportent des fonctionnalités permettant des transferts d’appels, des conférences entre plusieurs interlocuteurs ou encore l’interruption d’une conversation en cours, pour signaler un appel d’un tiers.

Authentification : Procédé matériel ou électronique par lequel le destinataire et/ou l’émetteur d’un message s’assure(nt) de l’identification de l’autre partie. La technologie utilisée pour s’assurer d’une telle authenticité peut être, par exemple, la signature électronique ou encore le mot de passe. L’authentification peut également concerner les processus.

Anonymisation : Procédé permettant de faire disparaître tout lien avec une personne. Le traitement d’informations sensibles, qui est normalement interdit par la loi, peut être autorisé par la Cnil si les informations sensibles du traitement font l’objet, à bref délai, d’un procédé d’anonymisation reconnu conforme à la loi. Ce procédé est utilisé dans de nombreux domaines, comme la surveillance sanitaire, les statistiques d’activités hospitalières ou encore les transports.

Adresse IP : Identifiant, composé d’une série de quatre nombres, d’ordinateur ou de serveur connecté à internet. Le fournisseur d’accès attribue à l’internaute, à chaque connexion, une adresse IP. Il s’agit d’adresses IP flottantes. Les adresses IP sont fixes, lorsque le fournisseur d’accès attribue définitivement à un abonné une adresse, plutôt que de la renouveler.

Adresse de messagerie (e-mail) : Moyen d’identification unique d’un utilisateur d’un courrier électronique, ce qui permet à d’autres utilisateurs d’acheminer des messages qui lui sont adressés. Chaque abonné d’un service en ligne dispose de sa propre adresse e-mail.