Skip to Content
RGPDPartie 16 — Cookbook & Annexes16.4 — Glossaire & ressources

Chapitre 16.4 — Glossaire & ressources

⏱️ TL;DR — Le lexique du RGPD (les termes qui reviennent tout au long du cours, des acronymes aux notions clés) et une sélection de ressources officielles : la CNIL, le CEPD, le texte du règlement sur EUR-Lex, l’outil d’analyse d’impact de la CNIL, ses guides pour développeurs. De quoi lever un doute sur un mot ou vérifier une règle à la source — d’autant que le paysage bouge.

Glossaire

TermeDéfinition
RGPDRèglement (UE) 2016/679, applicable depuis le 25 mai 2018 ; le cadre européen de protection des données personnelles.
Donnée personnelleToute information se rapportant à une personne physique identifiée ou identifiable (nom, e-mail, identifiant, mais aussi IP, cookie…).
TraitementToute opération sur des données personnelles : collecte, enregistrement, conservation, consultation, utilisation, communication, effacement…
Responsable de traitement (RT)Celui qui détermine les finalités et les moyens d’un traitement — il décide du pourquoi et du comment.
Sous-traitant (ST)Celui qui traite les données pour le compte du responsable, sur son instruction documentée (art. 28).
DPODélégué à la protection des données (Data Protection Officer) : pilote et conseille la conformité, point de contact (art. 37-39).
CNILCommission nationale de l’informatique et des libertés : l’autorité de contrôle française.
CEPDComité européen de la protection des données (EDPB) : coordonne les autorités nationales, publie les lignes directrices.
FinalitéLe pourquoi d’un traitement — déterminée, explicite et légitime ; on ne « recycle » pas des données pour un usage incompatible.
Base légaleLe fondement juridique d’un traitement, choisi parmi les 6 de l’art. 6, une par finalité, avant le traitement.
ConsentementManifestation libre, spécifique, éclairée et univoque de volonté, par acte positif clair ; aussi facile à retirer qu’à donner.
AIPD (DPIA)Analyse d’impact relative à la protection des données : évaluation obligatoire quand un traitement présente un risque élevé (art. 35).
RegistreRegistre des activités de traitement (art. 30) : la cartographie documentée de tous tes traitements.
DPAData Processing Agreement : le contrat de sous-traitance écrit imposé par l’art. 28.
CCTClauses contractuelles types (art. 46, décision (UE) 2021/914) : garantie contractuelle pour encadrer un transfert hors UE.
TIATransfer Impact Assessment : analyse d’impact du transfert exigée depuis Schrems II, au cas par cas, en complément des CCT.
DPFData Privacy Framework : décision d’adéquation UE–États-Unis (10 juillet 2023) pour les entreprises US certifiées.
Violation de donnéesAtteinte à la confidentialité, l’intégrité ou la disponibilité de données personnelles (fuite, perte, accès non autorisé…).
PseudonymisationTraiter les données pour qu’elles ne soient plus attribuables à une personne sans information supplémentaire conservée séparément ; réversible, cela reste une donnée personnelle.
AnonymisationRendre la ré-identification impossible ; une donnée vraiment anonyme sort du champ du RGPD (à ne pas confondre avec la pseudonymisation).
NIRNuméro d’inscription au répertoire = le numéro de sécurité sociale ; son usage est strictement encadré.
UE / EEELe RGPD s’applique dans l’Union européenne et l’Espace économique européen (UE + Islande, Liechtenstein, Norvège) ; au-delà, ce sont des pays tiers (règles de transfert du chapitre V).

Ressources officielles (la source de vérité)

  • CNIL (cnil.fr) : le point d’entrée français — guides thématiques, fiches pratiques, modèles de registre, actualité des sanctions. La référence à consulter en premier.
  • Guides « développeur » de la CNIL : bonnes pratiques privacy by design pour intégrer le RGPD dans le code (collecte, durées, sécurité, cookies). Voir Partie 14.
  • Outil PIA de la CNIL : le logiciel gratuit d’aide à la réalisation d’une AIPD (art. 35). Voir Partie 11.
  • CEPD / EDPB (edpb.europa.eu) : les lignes directrices européennes (consentement, transferts, violations…) — le niveau au-dessus de la CNIL.
  • Texte du RGPD (eur-lex.europa.eu) : le règlement (UE) 2016/679 lui-même, article par article. La source primaire quand un doute porte sur le texte exact.

Ressources d’appui

  • Loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978, modernisée) : le volet français, notamment l’art. 82 sur les cookies.
  • Lignes directrices & recommandation cookies de la CNIL (2020) : refuser aussi simple qu’accepter, exemptions pour les traceurs strictement nécessaires. Voir Partie 7.

📚 Vérifier la source à jour — Le RGPD lui-même est stable, mais son environnement bouge. La proposition « Digital Omnibus » (Commission européenne, 19 novembre 2025) vise à simplifier RGPD, AI Act et Data Act (AIPD harmonisées, règles cookies déplacées vers le RGPD, consentement « 1-clic »…) — mais ce n’est qu’une proposition, pas du droit en vigueur (adoption visée ~fin 2026). Côté transferts, le Data Privacy Framework est valide mais fragile : le recours Latombe a été rejeté par le Tribunal de l’UE (3 septembre 2025), mais un appel est pendant devant la CJUE (2026). Le réflexe d’expert : avant d’affirmer une règle sensible (cookies, transferts, IA), vérifie sur cnil.fr ou edpb.europa.eu que l’état du droit n’a pas changé. On enseigne le droit en vigueur, on signale ce qui arrive.

🧭 Sur FormaCampus — L’équipe a défini deux références « de vérité » : la CNIL pour la pratique française, le CEPD pour l’interprétation européenne. En cas de désaccord en réunion, on tranche par la source officielle — pas par l’avis le plus assuré. Et comme FormaCampus touche à l’IA et aux transferts US, quelqu’un surveille les évolutions (Omnibus, DPF) sans construire dessus tant que ce n’est pas voté.


Chapitre suivant : Quiz final — valide tes acquis sur l’ensemble du cours.

Last updated on