Vous êtes ici : Accueil > Lexique

Lexique

Adresses (Courtage d'): Le courtage d'adresses est l'échange, la vente ou la location de certains fichiers dans lesquels figurent des données à caractère personnel.
Authenticité (sécurité de l'information): L'authenticité est la propriété d'une entité d'être bien celle qu’elle prétend être.
L'authenticité s'applique tant aux personnes (utilisateurs) qu'à n’importe quelle autre entité (application, processus, système, etc.). Elle implique une identification, c'est-à-dire la reconnaissance d'une dénomination permettant de désigner l'entité sans équivoque.
L'Association Belge du Marketing Direct (www.bdma.be): Cette association a pour but de promouvoir et de défendre le marketing direct.
: Un courtier d'adresses ou "listbroker" (dans le cadre du marketing direct) joue le rôle d'intermédiaire entre les propriétaires ("listmakers") et les utilisateurs d'un fichier d'adresses. Il met les utilisateurs potentiels d'adresses en contact avec les propriétaires de fichiers d'adresses ou " listmakers" qu'il choisit avec une grande liberté.

Bannière

Une bannière est un message publicitaire sur un site Internet. Ce n'est qu'en cliquant sur la bannière que vous ouvrez une page où figurent de plus amples informations sur le produit proposé. Auparavant, les bannières apparaissaient surtout sous la forme d'un pop-up, ce qui pouvait parfois être très ennuyeux. À présent, vous ne les voyez que lorsque vous passez votre souris dessus, après quoi vous avez la possibilité de les ouvrir ou non.

Biens (sécurité de l'information)

Les biens (le "patrimoine", les "actifs" ou les "avoirs") d’un organisme, c’est tout ce qui a une quelconque valeur pour lui ou, en d’autres mots, tout ce qui ajoute de la valeur à l’organisme, ou encore, tout ce dont la perte aurait pour conséquence de diminuer la valeur ou l'efficacité de l’organisme.
Dans le cadre de la sécurisation des données à caractère personnel, sont considérés comme biens les données à caractère personnel et toutes les ressources nécessaires à leur traitement correct comme :

les biens matériels abritant les données (les bâtiments, les machines, le matériel informatique, etc.) ;
les logiciels nécessaires au traitement des données (les applications et les programmes utilisés, les systèmes d'exploitation, etc.) ;
les informations utilisées dans le cadre des traitements des données et pouvant être mémorisées sous différentes formes : dans des bases de données, sur des documents papier, etc.) ;
l’infrastructure (les services de base nécessaires à l’organisme pour atteindre son but : énergie électrique, éclairage, communications, transports, ascenseurs, etc.) ;
le personnel (les travailleurs de l'organisme, le personnel temporaire, etc.) ;
les biens intangibles (la réputation, l’image de marque, les valeurs éthiques, etc.) ;
les ressources financières nécessaires au bon fonctionnement de l’organisme.

Binding Corporate Rules (BCRs)

Ce sont des règles qu'une entreprise multinationale peut adopter, qui doivent être obligatoires pour l'ensemble de ses entités, et qui portent sur les transferts internationaux de données personnelles qui sont réalisés au sein du groupe. Pour que les règles d'entreprises contraignantes soient considérées comme offrant des garanties suffisantes quant au respect de la protection des données, il faut qu'elles soient autorisées par les autorités nationales de protection des données compétentes. Une procédure de coopération entre les différentes autorités nationales a été élaborée par le Groupe de travail Article 29.

Caméra de surveillance (Loi caméras)

La loi décrit une caméra de surveillance comme tout système d'observation fixe ou mobile dont le but est :

de prévenir, de constater ou de déceler les délits, ou
de prévenir, de constater ou de déceler les nuisances, ou
de maintenir l'ordre.

À cet effet, le système collecte, traite ou sauvegarde des images.

Caméra mobile

Il s'agit d'une caméra de surveillance utilisée par les services de police et qui est déplacée au cours de l’observation afin de filmer à partir de différents lieux ou positions. De telles caméras ne peuvent être utilisées que de manière non permanente et que dans le cadre de grands rassemblements tels que des manifestation sur la voie publique, des matches de football, des concerts, etc.

Caméras (Loi)

La loi du 21 mars 2007 réglant l'installation et l'utilisation de caméras de surveillance (publiée au Moniteur belge du 31 mai 2007). La loi caméras s'applique à l'installation et à l'utilisation de caméras de surveillance en vue de la surveillance et du contrôle.

Codées (Données)

Ce sont des données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable qu'au moyen d'un code.

Commission de la protection de la vie privée

La Commission de la protection de la vie privée ("Commission vie privée") est un organisme indépendant créé par la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel ("loi vie privée"). Elle veille à ce que les données à caractère personnel soient traitées dans le respect de ladite loi, de manière à préserver la vie privée des citoyens.

Confidentialité (sécurité de l'information)

La confidentialité est la propriété d'une information de ne pouvoir être accédée que par des personnes, entités ou processus autorisés et de ne pouvoir être divulguée qu'à des personnes, entités ou processus autorisés.
Cette possibilité d’accorder un accès sélectif aux informations doit être assurée tout au long de la vie de ces informations notamment au cours de leurs collectes, de leur conservation, de leurs traitements et de leurs communications.
En pratique, les seules personnes autorisées à accéder aux données à caractère personnel sont les personnes dont la fonction ou les activités professionnelles justifient cet accès.
Les degrés de confidentialité dépendent de la nature des informations.

Consentement indubitable

C'est un consentement :

qui a été donné tout à fait volontairement. En d'autres termes, aucune pression n'a été exercée sur la personne concernée pour qu'elle dise "oui" ;
qui est spécifique. Cela signifie que le consentement concerne un traitement bien précis ;
en connaissance de cause. La personne a reçu toutes les informations utiles concernant le traitement envisagé.

Il n'est pas nécessaire que le consentement soit donné par écrit, mais alors le problème de la charge de la preuve se pose en cas de difficultés.

Courtage de profils personnels

Transmission à des tiers ou traitement pour compte de tiers de profils appliqués à des individus par évaluation, classification ou (éventuellement) décision découlant du profilage. Ce courtage passe souvent par des intérmédiaires.

Data Mining (Exploration de données)

L'exploration de données ou "data mining" est une science récente mais populaire qui combine des éléments de statistique, de banques de données et d'intelligence artificielle. Il s'agit d'un processus par lequel de grandes quantités de données sont analysées afin de repérer certains modèles. Ces modèles peuvent ensuite faire l'objet d'une interprétation qui doit à son tour fournir de nouvelles connaissances relatives aux données. Plusieurs domaines utilisent cette technique, par exemple le monde médical, le monde des assurances, le secteur du marketing, …

Data Warehousing (Entrepôt de données)

Un entrepôt de données ou "data warehousing" est le phénomène par lequel on collecte grande quantité de données sur un sujet prédéterminé. Ces données peuvent ensuite faire l'objet d'une analyse précise pour trouver une réponse à certaines questions relatives à ce sujet. Cette technique est largement appliquée dans le monde du marketing (l'étude précise d'un groupe cible est de la plus grande importance pour ce secteur, étant donné que de cette manière, il est possible d'anticiper des besoins spécifiques). Un exemple bien connu est la carte de fidélité. Le client reçoit un avantage en échange d'une carte de fidélité. Dans de nombreux cas, cet avantage est une réduction ou on travaille avec un système de points à épargner. À chaque achat, le client doit présenter sa carte de fidélité qui est ensuite scannée. Puisque le client s'identifie, on peut relier à ce client les codes-barres des produits également scannés ainsi que le moment de l'achat. Dans le système, on dispose donc d'une énorme quantité de données relatives aux produits vendus, y compris le moment de l'achat et les données des clients.

Date de régularisation

Date que le prêteur doit communiquer à la Centrale des Crédits aux Particuliers au plus tard 8 jours ouvrables après la régularisation du contrat de crédit.

Déclaration (Exemption)

Les traitements de données à caractère personnel ne doivent pas tous être déclarés. Outre les fichiers manuels (par exemple sur papier ou microfiche), une série de traitements automatisés sont dispensés de l'obligation de déclaration. Ceux-ci sont énumérés dans l'arrêté d'exécution du 13 février 2001 et concernent quelques traitements parmi les plus courants (par exemple, la gestion du personnel, la comptabilité, la gestion de la clientèle, la gestion des salaires, …). L'exemption de déclaration ne signifie cependant pas que les autres obligations découlant de la loi ne doivent pas être respectées.

Déclaration

La déclaration est un acte par lequel le responsable du traitement informe la Commission qu'il va effectuer un traitement de données à caractère personnel. Une déclaration ne sert pas à demander un permis ou une autorisation, mais uniquement à déclarer un traitement. La déclaration consiste principalement en une description du traitement de données.

Déclaration VIA/DPR

Cette "VoorIngevulde Aangifte / Déclaration Pré Remplie" offre aux organisations (professionnelles) la possibilité de mettre à la disposition de leurs membres un formulaire de déclaration qui a déjà été rempli partiellement par l'organisation.

Direct marketing

Le marketing direct peut être défini comme : "l'ensemble des activités ainsi que tout service auxiliaire à celles-ci permettant d'offrir des produits et des services ou de transmettre tous autres messages publicitaires à des segments de population, par le moyen du courrier, du téléphone ou d'autres moyens directs dans le but d'information ou afin de solliciter une réaction de la part de la personne concernée."
(Sources: Conseil de l'Europe, Recommandation R(85) 20 du Comité des Ministres aux Etats membres relative à la protection des données à caractère personnel utilisées à des fins de marketing direct, 25 octobre 1985; Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, Journal officiel des communautés européennes, L281/21, 23 novembre 1995.)

Disclaimer

Un "disclaimer" est une déclaration générale sur un site Internet dans laquelle sont définis les droits et obligations de toutes les parties concernées, par exemple dans la déclaration vie privée du site ou dans un contrat.

Disponibilité (sécurité de l'information)

La disponibilité est la propriété des informations, systèmes et processus d'être accessibles et utilisables sur demande d'une entité autorisée.

Données à caractère personnel

Une donnée à caractère personnel est toute information concernant une personne physique identifiée ou identifiable (dénommée "personne concernée" dans la loi vie privée). Autrement dit, une donnée à caractère personnel est toute donnée qui permet d'identifier une personne.

Il peut s'agir du nom d'une personne, d'une photo, d'un numéro de téléphone, même d'un numéro de téléphone au travail, d'un code, d'un numéro de compte bancaire, d'une adresse e-mail, d'une empreinte digitale, …

Il ne s'agit pas uniquement de données qui se rapportent à la vie privée de personnes, mais également de données concernant la vie professionnelle ou publique d'une personne.

On ne tient compte que des données relatives à une personne physique et pas des données relatives à une personne morale ou à une association (société civile ou commerciale ou une a.s.b.l.).

Données anonymes

Ce sont des données qui ne peuvent pas être mises en relation avec une personne identifiée ou identifiable et qui ne sont donc pas des données à caractère personnel.

Données biométriques

Il s'agit de données très spécifiques permettant d'identifier sans ambiguïté une personne sur la base de ses caractéristiques physiques ou comportementales. Qu'elles soient utilisées à des fins d'authentification/de vérification ou à des fins d'identification, toutes les caractéristiques précitées se distinguent par leur caractère à la fois :

universel (elles sont présentes chez tous les individus),
unique (elles varient d'un individu à un autre) et permanent (elles demeurent en principe présentes tout au long de la vie de l'individu concerné).

Les techniques biométriques peuvent être réparties en deux catégories principales, selon qu'elles font appel à des données physiques stables ou à des données comportementales.
Parmi les techniques basées sur des caractéristiques physiques et physiologiques, on citera par exemple la vérification des empreintes digitales, l'analyse de la forme du doigt, la reconnaissance de l'iris, l'analyse de la structure de l'ADN, etc. L'autre grande catégorie rassemble les techniques reposant sur l'utilisation de données comportementales, comme la vérification de la signature, l'analyse de la démarche ou du rythme de frappe sur un clavier, …

Données codées

Ce sont des données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable qu'au moyen d'un code.

Données - Entrepôt de ("data warehousing")

Données - Exploration de ("data mining")

Données sensibles

Certaines données à caractère personnel présentent un caractère plus sensible que d'autres. Le nom et l'adresse d'une personne sont plutôt des données anodines. Il n'en va pas de même pour ses convictions politiques, ses préférences sexuelles ou son passé judiciaire. La loi vie privée régit l'enregistrement et l'utilisation de ces données sensibles d'une manière plus stricte que les autres données à caractère personnel.

Il s'agit de données sur la race, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, la santé, la vie sexuelle, des suspicions, des poursuites, des condamnations pénales ou administratives. Il est en principe interdit de traiter de telles données.

Droit à l'image

Le droit à l'image (développé tant par la jurisprudence que par la doctrine) est un droit par lequel le consentement de la personne représentée est requis pour toute représentation humaine mais également pour l'utilisation de cette image à des fins non autorisées.

Ce n'est que dans certains cas que l'exigence du consentement ne s'applique pas.

Ce droit à l'image est indépendant de la protection de la vie privée, alors que l'on pense parfois à tort qu'il en fait partie. Bien que ces deux domaines se chevauchent dans une certaine mesure, le droit à l'image ne fait pas partie de la protection de la vie privée.

Droit d'accès

Dès que quelqu'un traite des données à caractère personnel, vous devez pouvoir exercer le contrôle nécessaire sur ce traitement. Pour justement permettre ce contrôle, la Loi vie privée prévoit un droit d'accès. Vous pouvez donc demander au responsable du traitement s'il possède des données vous concernant. Le responsable du traitement doit vous communiquer le type de données dont il dispose à votre sujet ainsi que la raison pour laquelle il est en possession de ces données, ainsi que vous communiquer de quel type de données il s'agit et à qui elles seront communiquées.

Mais attention, ce droit d'accès ne signifie pas pour autant que vous recevrez automatiquement une copie de la liste des données sur laquelle vous êtes enregistré. Le responsable du traitement peut aussi tout simplement (par lettre ou même par téléphone) vous communiquer qu'il possède des données vous concernant et vous informer plus précisément sur le type de ces données (p. ex. votre nom et votre adresse, votre numéro de téléphone ou votre date de naissance,…). En exerçant votre droit d'accès vous saurez d'où proviennent les données et comment sont prises certaines décisions (p. ex. en cas de refus d'octroi d'un prêt si vous figurez sur une liste négative).

Pour pouvoir exercer ce droit d'accès, vous devez envoyer une demande signée et datée par poste ou par fax au responsable du traitement accompagnée d'une preuve d'identité (copie de votre carte d'identité par exemple). Attention : les demandes peuvent également être envoyées par e-mail mais ne sont acceptées qu'avec une signature électronique. La demande peut aussi être remise sur place. Le responsable dispose d'un délai de 45 jours pour vous répondre. S'il ne réagit pas ou si sa réponse ne vous convainc pas, vous pouvez vous adresser à la Commission vie privée qui mettra en route une procédure de médiation. Vous pouvez aussi introduire une action en justice.

Vous ne pourrez cependant pas avoir accès à toutes les données de la même manière, même s'il s'agit toujours de vos données à caractère personnel. C'est notamment le cas pour les données conservées dans le cadre de la sûreté de l'État, la sécurité publique, la défense nationale ou la prévention ou la sanction des infractions. Dans ces cas, si vous voulez savoir si des données vous concernant sont traitées, vous devez envoyer une lettre accompagnée d'une copie de votre carte d'identité à la Commission vie privée. La Commission vie privée interviendra alors en tant qu'intermédiaire et pourra avoir accès à ces données à votre place. Ensuite, la Commission vie privée vous informera du fait qu'elle a contrôlé vos données et éventuellement du fait qu'elle les a fait modifier mais ceci, sans vous divulguer le contenu de ces données ou de leur modification. En ce qui concerne les données relatives à la santé, vous pourrez y avoir accès directement ou il peut aussi arriver que le responsable du traitement demande à ce que cet accès soit confié à une tierce personne.

Droit d'opposition

Il vous est à tout moment loisible de vous opposer à l'utilisation de données vous concernant, à condition, toutefois, d'avoir des motifs sérieux de le faire. Vous ne pouvez certes pas vous opposer à un traitement de données imposé par une loi ou par une disposition réglementaire, pas plus qu'à un traitement nécessaire à l'exécution d'un contrat auquel vous êtes partie, mais vous conservez toujours le droit de vous opposer à l'utilisation illégitime de vos données, de même que celui de vous opposer, gratuitement et sans justification, au traitement de vos données à des fins de marketing direct.

Vous devez adresser au responsable du traitement auquel vous désirez vous opposer une demande datée et signée, accompagnée d'une preuve de votre identité (par exemple une photocopie de votre carte d’identité). Cette demande peut être remise sur place, envoyée par voie postale ou faxée (une demande transmise par courriel ne sera recevable que si elle est revêtue d'une signature électronique). Le responsable du traitement dispose d’un mois pour vous répondre. S'il ne le fait pas ou si sa réponse n'est pas satisfaisante, vous pouvez solliciter la médiation de la Commission de la protection de la vie privée ou déposer plainte auprès des instances judiciaires.

Droit de rectification

Toute personne peut faire rectifier sans frais les données inexactes qui la concernent spécifiquement et faire supprimer d'autres données qui sont non pertinentes, incomplètes ou interdites ou encore interdire l'utilisation de ces données. Si le responsable du traitement ne réagit pas, la personne concernée peut s'adresser à la Commission qui initiera une procédure de médiation. La personne concernée peut également porter plainte auprès des instances judiciaires.

eID: Il s'agit de la carte d'identité électronique, qui a été distribuée progressivement ces dernières années. Elle est pourvue d'une puce électronique qui contient non seulement toutes les informations qui sont visibles à l'œil nu sur la carte (nom, prénom, photo, numéro de Registre national, etc.) mais également d'autres informations, dont l'adresse, qui n'est donc plus visible à l'œil nu. La puce contient également des "certificats digitaux", qui permettent de bénéficier d'applications administratives en ligne, d'envoyer des documents électroniques et des e-mails recommandés, etc
Enceinte: Par "enceinte", il faut au minimum comprendre une délimitation visuelle, par exemple, un panneau avec l'inscription "privé" ou "réservé à la clientèle". La délimitation doit bien entendu être faite de manière légitime.
Exemption de déclaration: Les traitements de données à caractère personnel ne doivent pas tous être déclarés. Outre les fichiers manuels (par exemple sur papier ou microfiche), une série de traitements automatisés sont dispensés de l'obligation de déclaration. Ceux-ci sont énumérés dans l'arrêté d'exécution du 13 février 2001 et concernent quelques traitements parmi les plus courants (par exemple, la gestion du personnel, la comptabilité, la gestion de la clientèle, la gestion des salaires, …). L'exemption de déclaration ne signifie cependant pas que les autres obligations découlant de la loi ne doivent pas être respectées.
L'Espace économique européen: Il s'agit d'un accord d'association entre les membres de la Communauté européenne et trois membres de l'association européenne de libre-échange (AELE) : l'Islande, la Norvège et le Liechtenstein.

(Principe de) finalité

En vertu de la loi vie privée, les données à caractère personnel ne peuvent être traitées qu'en vue d'une ou de plusieurs finalités légitimes. Cela implique qu'il doit toujours y avoir une raison concrète pour laquelle les données à caractère personnel seront traitées et que cette raison doit être déterminée avec précision avant de commencer un traitement.

La finalité est la pierre d'angle de la loi vie privée et détermine le cadre dans lequel des données à caractère personnel peuvent être traitées, par exemple : quelles données sont traitées, que fait-on de ces données, sont-elles transmises à des tiers, …

Fiabilité (sécurité de l'information)

La fiabilité est la propriété de se comporter et de fournir des résultats conformes aux attentes.
La fiabilité se définit aussi comme la propriété d'être digne de confiance. On parlera souvent de données fiables pour des données qui sont exactes, précises et reproductibles.

Fichier des enregistrements régis

Fichier de la Centrale des Crédits aux Particuliers de la Banque nationale de Belgique, comportant un volet positif et un volet négatif, dans lequel sont enregistrés les contrats de crédit à la consommation et les contrats de crédit hypothécaire, autrement dit des contrats souscrits par des personnes physiques à des fins privées.

Fichier manuel

Un fichier manuel est un ensemble structuré de données à caractère personnel qui sont accessibles en fonction de critères déterminés. Les pages blanches sur papier en sont un exemple.

Fichiers des enregistrements non régis

Fichier tenu à jour par la Centrale des Crédits aux Particuliers de la Banque nationale de Belgique et dans lequel sont uniquement enregistrés des défauts de paiement.

Les données y enregistrées se rapportent elles aussi à des personnes physiques mais concernent des situations différentes de celles visées par la loi du 10 août 2001, comme :

le non-apurement d’une dette non autorisée liée à un compte courant ou à une carte "accréditive" (carte de paiement sans ouverture de crédit : la totalité du montant dû est automatiquement débitée du compte courant, par exemple un mois après l’achat) ;
le non-remboursement d’un crédit souscrit dans un but professionnel.

Fins historiques, statistiques ou scientifiques

Une recherche historique concerne le traitement de données à caractère personnel ayant pour finalité d'analyser un événement passé ou de permettre cette analyse. Il peut également s'agir d'un traitement à des fins scientifiques, mais ce n'est pas obligatoire (un généalogiste peut dès lors recourir à cette disposition).
Une finalité statistique comprend toute opération de collecte et de traitement de données à caractère personnel nécessaire aux enquêtes statistiques ou à la production d'un résultat statistique.
Une recherche scientifique vise à établir des permanences, des lois de comportement ou des schémas de causalité qui transcendent tous les individus qu'ils concernent.

Gestion des risques (sécurité de l'information): La gestion des risques vise à identifier les principaux risques, à discerner ceux qui doivent être traités et ceux qui sont acceptables, à mettre en œuvre les moyens de sécurité traitant les risques encourus par les données à caractère personnel selon une échelle de priorité. Les processus de gestion des risques forment un cycle qui est à répéter selon les particularités des systèmes et des risques identifiés. La gestion des risques débouche sur des processus de définition ou de mise à jour de la politique de sécurité et, souvent, sur des adaptations de l'organisation et des procédures de manière à mieux prendre en compte les nouveaux risques et les mesures de sécurité mises en œuvre.
Gestion quotidienne de la sécurité (sécurité de l'information): La gestion quotidienne de la sécurité comprend notamment des activités comme l'administration des dispositifs de sécurité, la gestion des autorisations, l'analyse des incidents détectés.
Groupe de travail Article 29: Le Groupe de travail Article 29 sur la protection des données est un organe consultatif européen indépendant qui a notamment pour mission de contribuer à la mise en œuvre homogène de la Directive européenne 95/46/CE relative à la protection des données. Il communique des avis, des documents de travail et des recommandations qui sont librement accessibles sur Internet. Ce groupe est composé de représentants des différentes autorités nationales de protection des données, du contrôleur européen de la protection des données ainsi que de représentants de la Commission européenne.

Hameçonnage ("phishing"): Le "phishing" est une pratique qui consiste à faire croire à une personne qu'elle se trouve sur un site Internet légitime alors qu'en réalité, elle surfe sur un site habilement falsifié et qu'un fraudeur va s'approprier ses données. Le phénomène ne cesse de prendre de l'ampleur ces dernières années. De plus en plus de "marques" différentes ont été falsifiées, et il ne s'agit pas toujours de banques.

Impact (sécurité de l'information): L’impact est la conséquence d'un incident sur un ou plusieurs biens (des données à caractère personnel ne sont plus exactes, par exemple).
En sécurité de l'information, on fait souvent la différence entre la conséquence directe (dommage au système d'information, comme la modification d'un fichier, l'accessibilité à une donnée confidentielle ou l'arrêt intempestif d'un système) et l'impact indirect (préjudice subi par l'organisme ou par des tiers, comme l'utilisation malveillante d'une information confidentielle, décision erronée suite à une donnée inexacte).
Il n'existe pas toujours de relation directe entre les conséquences directes d'un incident et l'impact indirect sur l'organisme ou sur des tiers : la perte d'une donnée élémentaire peut avoir des conséquences majeures pour la personne concernée alors que l'effacement complet d'un système peut ne nécessiter que la restauration du système depuis une copie de sauvegarde convenablement exécutée.
Imputabilité (sécurité de l'information): L'imputabilité est la propriété qui garantit que les actions d'une entité sont tracées et attribuées à cette seule entité.
L'imputabilité assure de pouvoir identifier, pour toutes les actions accomplies, les personnes, les systèmes ou les processus qui les ont initiées (identification) et de garder trace de l'auteur et de l'action (traçabilité).
Incident (sécurité de l'information): Un incident est un événement imprévu ou non espéré qui peut entraîner des conséquences, éventuellement importantes.
L'incident de sécurité de l'information est tout événement inattendu ou non espéré, susceptible de compromettre une activité ou la sécurité des informations de l'organisme (dysfonctionnement ou surcharge d'un système, erreur humaine, fonctionnement anormal ou inhabituel d'un logiciel ou d'un matériel). En soi, un incident n’est ni bon ni mauvais.
Intégrité (sécurité de l'information): L’intégrité couvre deux aspects différents : l’intégrité des informations et l’intégrité des systèmes et processus.
L’intégrité d'une information est la propriété de ne pas être altérée ou détruite de manière non autorisée, volontairement ou accidentellement.
L’intégrité d'un système ou d'un processus est la propriété de réaliser la fonction désirée de façon complète et selon les attentes, sans être altérée par une intervention non autorisée, volontaire ou accidentelle.
Intérêt légitime: Nous parlons d'un intérêt légitime lorsque l'intérêt du responsable à traiter les données est supérieur à celui de la personne enregistrée à ce que ces données ne soient pas traitées. En cas de doute, c'est la Commission ou le juge qui décide quel intérêt prévaut.

Lieu fermé accessible au public (Loi caméras)

Tout bâtiment ou lieu fermé destiné à l'usage du public, où des services peuvent lui être fournis.
Exemples : un magasin, la salle des guichets d'une banque, un cinéma, un restaurant, un hôtel, les transports publics, une salle de spectacle, une salle de sport, un terrain de sport, un espace administratif, une église, un cabinet de médecin, un camping, …

Lieu fermé non accessible au public (Loi caméras)

Tout bâtiment ou lieu fermé destiné uniquement à l'usage des utilisateurs habituels.
Exemples : une habitation familiale, un immeuble à appartements, un immeuble de bureaux, une usine, une ferme, …

Lieu ouvert (Loi caméras)

Tout lieu non délimité par une enceinte (Il faut au minimum comprendre une délimitation visuelle, par exemple, un panneau avec l'inscription "privé" ou " réservé à la clientèle". La délimitation doit bien entendu être faite de manière légitime) et accessible librement au public.
Exemples : la voie publique, un parc, une place communale, un grand parking public, …

Listbroker (Courtier d'adresses)

Un courtier d'adresses ou "listbroker" (dans le cadre du marketing direct) joue le rôle d'intermédiaire entre les propriétaires ("listmakers") et les utilisateurs d'un fichier d'adresses. Il met les utilisateurs potentiels d'adresses en contact avec les propriétaires de fichiers d'adresses ou " listmakers" qu'il choisit avec une grande liberté.

Liste des électeurs

Document dressé par les autorités communales en vue d'une élection déterminée. Contenant un certain nombre de données à caractère personnel (telles que le nom, le prénom, la date de naissance, le sexe et l'adresse), il peut être délivré sur papier ou sur support magnétique.

Les listes des électeurs sont communiquées par les administrations communales :

aux personnes agissant au nom de partis politiques ;
à toute personne se portant candidate.

Listmaker (Propriétaire de fichiers)

Un propriétaire de fichiers ou "listmaker" (dans le cadre du marketing direct) est toute personne ou entreprise ayant constitué ou acheté un fichier d'adresses et qui dispose du droit d'utilisation et de disposition de ces fichiers (il peut par exemple vendre ou louer le fichier d'adresses à des tiers).

Marketing direct: Le marketing direct est une notion assez complexe et couvre de nombreux aspects. Quoi qu'il en soit, il a une signification plus large que la " publicité". Selon la définition européenne officielle, il s'agit de : " l'ensemble des activités ainsi que tout service auxiliaire à celles-ci permettant d'offrir des produits et des services ou de transmettre tous autres messages publicitaires à des segments de population par le moyen du courrier, du téléphone ou d'autres moyens directs dans le but d'information ou afin de solliciter une réaction de la part de la personne concernée".
Marketing viral: Il s'agit d'inciter une personne à communiquer des données à caractère personnel d'amis ou de connaissances en échange d'un cadeau ou d'une réduction. Les données à caractère personnel ainsi obtenues sont ensuite utilisées à des fins de marketing direct. L'équilibre fait ici défaut parce que les amis et/ou connaissances concernés ne sont généralement pas informés et ne peuvent pas non plus donner leur consentement, perdant ainsi le contrôle sur les traitements de leurs propres données à caractère personnel.
Menace (sécurité de l'information): Une menace, c’est tout événement inattendu ou inespéré susceptible de porter préjudice à un des biens de l’organisme et donc, de nuire à la protection des données à caractère personnel.
Les menaces peuvent être d’origine environnementale (incendie), technique (pannes de systèmes) ou humaine.
Les menaces d’origine humaine peuvent être accidentelles (erreurs, omissions, procédures inappropriées) ou délibérées (malveillance, intrusion, vol), d’origine interne (divulgation d'information) ou externe (espionnage industriel).
Mesures de sécurité (sécurité de l'information): Les mesures de sécurité, appelées aussi "mesures de protection" ou " contrôles de sécurité" sont des procédés ou dispositifs susceptibles de réduire les risques. Les mesures de sécurité peuvent être efficaces de différentes manières : en diminuant les possibilités d'une menaces, en corrigeant les vulnérabilités ou encore en limitant les opportunités de conséquences directes ou d'impacts indirects. Il est aussi possible d'agir sur le facteur temps. En effet, en détectant mieux et plus tôt les incidents, il est possible d’agir avant une dégradation significative.
Modèles de contrats-type: Modèles de contrats-type adoptés par la Commission européenne et qui sont mis à la disposition des personnes qui souhaitent réaliser des flux internationaux de données dans le respect des conditions légales européennes de protection des données relatives aux flux transfrontières (article 25 et suivants de la Directive 95/46/CE). En signant ces modèles de contrats-type, les parties signataires seront considérées comme offrant des garanties suffisantes au regard de la protection de la vie privée.

Non-répudiation (sécurité de l'information): La non répudiation est la propriété d'une action ou d'un événement d'avoir bien eu lieu et de ne pouvoir être niée ou nié ultérieurement. Dans le domaine du courrier électronique, par exemple, la non répudiation est utilisée aussi bien pour garantir que le destinataire ne puisse nier avoir reçu l’information que pour garantir que l’expéditeur ne puisse nier avoir envoyé l’information.

Opt-in: Par ce système, vous donnez votre consentement préalable pour que des messages commerciaux vous soient envoyés. Le système d'opt-in vaut pour toute forme de communication. Avec ce système, vous pouvez, comme l'exige la loi vie privée, donner votre consentement libre, spécifique et informé.
Le système d'opt-in est généralement utilisé lorsqu'on souhaite envoyer des courriers électroniques de manière massive et régulière, comme par exemple une newsletter, des revues virtuelles, des offres promotionnelles. Vous vous inscrivez en complétant votre adresse e-mail sur un formulaire spécifique sur un site Internet. Le but de l'opt-in est que vous sachiez précisément au préalable à quoi vous vous inscrivez, de manière à ne pas avoir de mauvaises surprises par la suite.
Opt-out: Grâce à l'opt-out, vous pouvez, comme la loi vie privée l'exige, vous opposer à tout traitement de vos données à caractère personnel à des fins de marketing direct. L'opt out est donc l'inverse de l'opt-in.
Dans ce cas, vous recevez d'abord un message non sollicité mais avec la possibilité de vous désinscrire, de manière à ne plus recevoir ces messages à l'avenir. Ce système n'est autorisé qu'à condition que l'expéditeur ait obtenu votre adresse (e mail) directement auprès de vous lorsque vous avez acheté un produit ou un service chez lui, qu'il n'utilise votre adresse (e-mail) que pour des produits ou services similaires à ceux qu'il fournit lui-même et qu'au moment où il a obtenu votre adresse (e-mail), il vous ait offert la possibilité de vous y opposer gratuitement et facilement. En outre, le secteur du marketing direct a également créé les listes Robinson.
Organisation intermédiaire: La personne physique, la personne morale, l'association de fait ou l'administration publique, autre que le responsable du traitement des données non codées, qui code des données à caractère personnel.

"Phishing" (Hameçonnage)

Le "phishing" est une pratique qui consiste à faire croire à une personne qu'elle se trouve sur un site Internet légitime alors qu'en réalité, elle surfe sur un site habilement falsifié et qu'un fraudeur va s'approprier ses données. Le phénomène ne cesse de prendre de l'ampleur ces dernières années. De plus en plus de "marques" différentes ont été falsifiées, et il ne s'agit pas toujours de banques.

(Principe de) proportionnalité

Le principe de proportionnalité mentionné dans la loi vie privée implique que l'on ne peut collecter que les données à caractère personnel qui sont " adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement ".

Cela suppose que seules les données pertinentes et nécessaires peuvent être collectées. Ainsi, un commerçant peut demander le nom et l'adresse de ses clients pour pouvoir leur envoyer des factures. En principe, il n'a a priori pas de raison de demander aussi la date de naissance ou la profession de ses clients. Pour une école, il n'est pas nécessaire de demander le salaire des parents. Pour l'inscription dans une bibliothèque publique, il n'est pas pertinent de connaître l'état civil de la personne qui s'inscrit.

Les principes de la sphère de Sécurité (ou Safe Harbour principles)

Les principes de la sphère de Sécurité ont été développés par le Département du Commerce américain, en consultation avec la Commission européenne, afin de faciliter la transmission de données à caractère personnel de l'Union européenne vers des entreprises américaines. Les sociétés qui déclarent auprès du Département du Commerce américain qu'ils ont adhéré à ces principes et qu'ils s'engagent à les respecter (ce qui implique notamment qu'ils se soumettent au contrôle du respect de ces principes par la "Federal Trade Commission" américaine), seront considérées comme offrant une protection adéquate au regard de la protection des données.

Personne concernée

Chacun de nous est une personne concernée. Vous divulguez vos données à caractère personnel dès que, par exemple :

vous complétez un formulaire ;
vous passez une commande ;
vous réservez une place pour un concert ;
vous réservez un billet de train ;
vous utilisez une carte de crédit ;
vous vous inscrivez à un cours ou dans un club sportif ;
vous vous faites hospitaliser ;
vous empruntez un livre dans une bibliothèque publique ou un dvd dans une vidéothèque.

La loi ne fait aucune distinction entre les Belges et les non Belges.

Photo ciblée

Il s'agit plutôt d'une photo individuelle ou d'une photo pour laquelle une ou plusieurs personnes sont mises en évidence lors d'une activité de groupe, ou encore d'une photo pour laquelle on pose, même au sein d'un groupe, par exemple la traditionnelle photo de classe.

Photo non ciblée

Ici, on vise plutôt une photo qui donne une idée générale et plutôt spontanée de l'ambiance, sans que les personnes ne posent, par exemple une activité ou un événement, sans qu'une ou plusieurs personnes ne soient spécifiquement mises en lumière. Par exemple une photo de groupe de la classe lors d'une balade en forêt, d'une activité sportive, …

Profilage

Le profilage est un traitement de données (à caractère personnel) automatisé qui a pour but d'appliquer à un individu une évaluation, un classement ou une décision sur la base de la comparaison et de l'agrégation de données à caractère personnel.

Publicité

Il n'existe pas de définition légale univoque de la notion de "publicité". Ainsi, la loi du 11 mars 2003 sur certains aspects juridiques des services de la société de l'information définit la publicité comme étant "toute forme de communication destinée à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une entreprise, d'une organisation ou d'une personne ayant une activité commerciale, industrielle ou artisanale ou exerçant une activité réglementée". La loi du 14 juillet 1991 sur les pratiques du commerce et sur l'information et la protection du consommateur définit à nouveau la publicité comme étant "toute communication ayant comme but direct ou indirect de promouvoir la vente de produits ou de services, quel que soit le lieu ou les moyens de communication mis en œuvre". En tout cas, il est clair que la " publicité" couvre un domaine plus restreint que la notion de "marketing direct" .

Registre public

Le registre public est une liste des traitements de données à caractère personnel qui ont été déclarés auprès de la Commission. Toute personne peut consulter cette liste, entre autres sur Internet.

Règles d'entreprises contraignantes (Binding Corporate Rules ou BCRs)

Régularisation

Les échéances en retard ont été payées ou la totalité du crédit a été remboursée.

Responsable du traitement

Il est très important de savoir qui la loi vie privée désigne en tant que " responsable du traitement". C'est en effet cette personne qui doit respecter quasiment toutes les obligations imposées par la loi vie privée. Si des difficultés se présentent, elle est donc responsable.

Le responsable du traitement est également le principal interlocuteur pour vous, en tant que personne concernée, mais aussi pour les instances qui doivent le contrôler.

C'est aussi lui qui détermine les finalités et les moyens du traitement de données. Il peut s'agir d'une personne physique, d'une personne morale, d'une association de fait ou d'une administration publique.

Si une loi, un décret ou une ordonnance prescrit la finalité et les moyens d'un traitement de données déterminé, le responsable du traitement est celui que cette loi, ce décret ou cette ordonnance désigne spécifiquement à cet effet.

Risque (sécurité de l'information)

Le risque est la probabilité qu'une menace donnée exploite des vulnérabilités d'un bien ou d'un groupe de biens et donc occasionne un dommage à l'organisme (exemple : effacement d'un fichier par un virus). Il est mesuré en terme de combinaison de probabilité d'un événement et de ses conséquences.
Un risque est donc caractérisé par deux facteurs : la probabilité qu’un incident se produise et l’importance des conséquences directes et des impacts indirects potentiels.
Le risque peut aussi dépendre du facteur temps : après un incident, la situation peut se dégrader progressivement si l'on ne prend pas les mesures correctives suffisamment tôt (exemple : erreur de logiciel affectant une base de données, programme espion collectant des mots de passe, des clés cryptographiques ou des codes PIN). Un incident bénin au moment de sa survenue peut ainsi conduire à des situations catastrophiques.

Risques résiduels (sécurité de l'information)

Les risques résiduels sont les risques qui restent après le traitement du risque, c'est-à-dire après la mise en œuvre des mesures de protection.

Safe Harbour principles

Sous-traitant

C'est la personne physique, la personne morale, l'association de fait ou l'administration publique qui traite des données à caractère personnel pour le compte du responsable du traitement (il ne s'agit pas ici des personnes qui, sous l'autorité directe du responsable du traitement, sont autorisées à traiter les données).

Spam ou pourriel

Il n'existe à proprement parler aucune définition légale du "spam". En général, ce terme renvoie à des courriers électroniques commerciaux non sollicités. Ces courriers électroniques sont généralement envoyés de manière massive et répétée. Il est important de savoir que tous les courriers électroniques commerciaux non sollicités ne sont pas automatiquement illégaux.

L'envoi d'un courrier électronique commercial non sollicité ou "spam" est toujours interdit lorsque l'auteur du message :

• camoufle ou masque son identité ;
• ne mentionne pas son adresse valable à laquelle le destinataire peut lui demander de ne plus recevoir d'autres messages ;
• a obtenu l'adresse e-mail du destinataire de manière irrégulière (par exemple au moyen de moteurs de recherche sur les espaces publics d'Internet ou si l'adresse e-mail a été transmise sans que la personne concernée n'en ait été informée et sans qu'elle n'ait eu la possibilité de s'y opposer ou d'y consentir).

Système de management (sécurité de l'information)

Le système de management visant à une amélioration continue de la sécurité. Il existe plusieurs modèles de système de management de la sécurité de l'information (ISMS - Information Security Management System). Le plus connu est basé sur une structure PDCA (Plan – Do – Check - Act). Cette amélioration continue se justifie par la nécessité d'adaptation à de multiples facteurs d'évolution comme les modifications de l'organisme et des risques associés, les modifications dans les systèmes d'information, les nouveautés technologiques tant pour les systèmes opérationnels que pour les dispositifs de sécurité.

Traitement (Responsable du)

Le responsable du traitement est également le principal interlocuteur pour vous, en tant que personne concernée, mais aussi pour les instances qui doivent le contrôler.

Traitement de données à caractère personnel

Un traitement de données est toute opération ou ensemble d'opérations appliquées à des données à caractère personnel. Ces opérations sont particulièrement variées et concernent notamment la collecte, la conservation, l'utilisation, la modification, la communication des données.

Quelques exemples :

un hôtel qui offre la possibilité de réserver via Internet traite des données lorsqu'il enregistre le nom du client, les dates et son numéro de carte de crédit ;
la commune qui transmet le nom des personnes qui introduisent une demande de permis de bâtir à un entrepreneur qui souhaite leur envoyer de la publicité traite également des données à caractère personnel.

La loi s'applique dès que le traitement de données à caractère personnel s'effectue de manière automatisée, même partiellement. Cette manière automatisée de travailler concerne toutes les technologies de l'information : l'informatique, la télématique, les réseaux de télécommunication (Internet).

La loi vie privée s'applique par exemple :

à une banque de données informatisée d'une société dans laquelle sont enregistrés les clients ou les fournisseurs ;
à la liste électronique des opérations sur un compte bancaire ;
au fichier informatisé du personnel d'une entreprise ou des enfants qui sont inscrits dans une école ;
etc.

Mais la loi vie privée s'applique également dès qu'un seul traitement est effectué à l'aide d'un moyen automatisé. Par exemple :

le bureau d'intérim qui conserve le curriculum vitae des candidats en version papier mais qui les transmet par fax aux employeurs doit respecter les prescriptions de la loi vie privée pour toutes les opérations qu'il effectue avec les curriculum vitae (telles que la conservation, le classement ou l'envoi des C.V.).

Lorsqu'un traitement de données n'est pas effectué de manière automatisée (par exemple, sur papier ou sur microfiches), il faut quand même respecter la loi si ces données ont été ou seront enregistrées dans un fichier manuel qui peut être consulté selon des critères spécifiques (par exemple, un classement alphabétique en fonction du nom des personnes).

Traitement ultérieur

Un traitement ultérieur tel que visé par l'arrêté d'exécution du 13 février 2001 concerne des données à caractère personnel qui ont été collectées initialement pour une finalité déterminée et qui sont réutilisées ultérieurement à des fins historiques, statistiques ou scientifiques qui ne sont pas compatibles avec ces finalités initiales. Il s'agit en d'autres termes d'une forme spécifique de collecte secondaire.

Volet négatif: Partie du fichier des enregistrements régis, communément appelée "liste des mauvais payeurs" ou "liste négative", dans laquelle sont enregistrées des données relatives aux crédits non remboursés ou en retard de paiement.
Volet positif: Partie du fichier des enregistrements régis dans laquelle sont enregistrées des données concernant tous les crédits accordés.
Vulnérabilités (sécurité de l'information): Une vulnérabilité est une faiblesse d'un bien ou d'un groupe de biens qui peut être exploitée par une ou plusieurs menaces (faute de conception, installation incorrecte). Dans beaucoup de cas, la vulnérabilité réside dans le défaut de protection du bien plutôt que dans le bien lui-même.
Une vulnérabilité en elle même ne cause aucun préjudice à l’organisation. C’est l'occurrence d'une menace, qui, profitant de la vulnérabilité et, le cas échéant, de circonstances particulières, occasionne un incident pouvant éventuellement engendrer des dommages.