Chapitre 16.4 — Glossaire & ressources
⏱️ TL;DR — Le lexique du RGPD (les termes qui reviennent tout au long du cours, des acronymes aux notions clés) et une sélection de ressources officielles : la CNIL, le CEPD, le texte du règlement sur EUR-Lex, l’outil d’analyse d’impact de la CNIL, ses guides pour développeurs. De quoi lever un doute sur un mot ou vérifier une règle à la source — d’autant que le paysage bouge.
Glossaire
| Terme | Définition |
|---|---|
| RGPD | Règlement (UE) 2016/679, applicable depuis le 25 mai 2018 ; le cadre européen de protection des données personnelles. |
| Donnée personnelle | Toute information se rapportant à une personne physique identifiée ou identifiable (nom, e-mail, identifiant, mais aussi IP, cookie…). |
| Traitement | Toute opération sur des données personnelles : collecte, enregistrement, conservation, consultation, utilisation, communication, effacement… |
| Responsable de traitement (RT) | Celui qui détermine les finalités et les moyens d’un traitement — il décide du pourquoi et du comment. |
| Sous-traitant (ST) | Celui qui traite les données pour le compte du responsable, sur son instruction documentée (art. 28). |
| DPO | Délégué à la protection des données (Data Protection Officer) : pilote et conseille la conformité, point de contact (art. 37-39). |
| CNIL | Commission nationale de l’informatique et des libertés : l’autorité de contrôle française. |
| CEPD | Comité européen de la protection des données (EDPB) : coordonne les autorités nationales, publie les lignes directrices. |
| Finalité | Le pourquoi d’un traitement — déterminée, explicite et légitime ; on ne « recycle » pas des données pour un usage incompatible. |
| Base légale | Le fondement juridique d’un traitement, choisi parmi les 6 de l’art. 6, une par finalité, avant le traitement. |
| Consentement | Manifestation libre, spécifique, éclairée et univoque de volonté, par acte positif clair ; aussi facile à retirer qu’à donner. |
| AIPD (DPIA) | Analyse d’impact relative à la protection des données : évaluation obligatoire quand un traitement présente un risque élevé (art. 35). |
| Registre | Registre des activités de traitement (art. 30) : la cartographie documentée de tous tes traitements. |
| DPA | Data Processing Agreement : le contrat de sous-traitance écrit imposé par l’art. 28. |
| CCT | Clauses contractuelles types (art. 46, décision (UE) 2021/914) : garantie contractuelle pour encadrer un transfert hors UE. |
| TIA | Transfer Impact Assessment : analyse d’impact du transfert exigée depuis Schrems II, au cas par cas, en complément des CCT. |
| DPF | Data Privacy Framework : décision d’adéquation UE–États-Unis (10 juillet 2023) pour les entreprises US certifiées. |
| Violation de données | Atteinte à la confidentialité, l’intégrité ou la disponibilité de données personnelles (fuite, perte, accès non autorisé…). |
| Pseudonymisation | Traiter les données pour qu’elles ne soient plus attribuables à une personne sans information supplémentaire conservée séparément ; réversible, cela reste une donnée personnelle. |
| Anonymisation | Rendre la ré-identification impossible ; une donnée vraiment anonyme sort du champ du RGPD (à ne pas confondre avec la pseudonymisation). |
| NIR | Numéro d’inscription au répertoire = le numéro de sécurité sociale ; son usage est strictement encadré. |
| UE / EEE | Le RGPD s’applique dans l’Union européenne et l’Espace économique européen (UE + Islande, Liechtenstein, Norvège) ; au-delà, ce sont des pays tiers (règles de transfert du chapitre V). |
Ressources officielles (la source de vérité)
- CNIL (
cnil.fr) : le point d’entrée français — guides thématiques, fiches pratiques, modèles de registre, actualité des sanctions. La référence à consulter en premier. - Guides « développeur » de la CNIL : bonnes pratiques privacy by design pour intégrer le RGPD dans le code (collecte, durées, sécurité, cookies). Voir Partie 14.
- Outil PIA de la CNIL : le logiciel gratuit d’aide à la réalisation d’une AIPD (art. 35). Voir Partie 11.
- CEPD / EDPB (
edpb.europa.eu) : les lignes directrices européennes (consentement, transferts, violations…) — le niveau au-dessus de la CNIL. - Texte du RGPD (
eur-lex.europa.eu) : le règlement (UE) 2016/679 lui-même, article par article. La source primaire quand un doute porte sur le texte exact.
Ressources d’appui
- Loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978, modernisée) : le volet français, notamment l’art. 82 sur les cookies.
- Lignes directrices & recommandation cookies de la CNIL (2020) : refuser aussi simple qu’accepter, exemptions pour les traceurs strictement nécessaires. Voir Partie 7.
📚 Vérifier la source à jour — Le RGPD lui-même est stable, mais son environnement bouge. La proposition « Digital Omnibus » (Commission européenne, 19 novembre 2025) vise à simplifier RGPD, AI Act et Data Act (AIPD harmonisées, règles cookies déplacées vers le RGPD, consentement « 1-clic »…) — mais ce n’est qu’une proposition, pas du droit en vigueur (adoption visée ~fin 2026). Côté transferts, le Data Privacy Framework est valide mais fragile : le recours Latombe a été rejeté par le Tribunal de l’UE (3 septembre 2025), mais un appel est pendant devant la CJUE (2026). Le réflexe d’expert : avant d’affirmer une règle sensible (cookies, transferts, IA), vérifie sur
cnil.frouedpb.europa.euque l’état du droit n’a pas changé. On enseigne le droit en vigueur, on signale ce qui arrive.
🧭 Sur FormaCampus — L’équipe a défini deux références « de vérité » : la CNIL pour la pratique française, le CEPD pour l’interprétation européenne. En cas de désaccord en réunion, on tranche par la source officielle — pas par l’avis le plus assuré. Et comme FormaCampus touche à l’IA et aux transferts US, quelqu’un surveille les évolutions (Omnibus, DPF) sans construire dessus tant que ce n’est pas voté.
Chapitre suivant : Quiz final — valide tes acquis sur l’ensemble du cours.