Lexique

Cliquez sur une des lettres suivantes afin de passer tout de suite aux termes commençant par cette lettre.

A

Adresses (Courtage d')

Le courtage d'adresses est l'échange, la vente ou la location de certains fichiers dans lesquels figurent des données à caractère personnel.

Applications ou Apps

Une application consiste en un petit élément de logiciel que l'on peut installer, par exemple, sur son téléphone mobile. Ces applications sont conçues pour remplir une tâche spécifique ou comprennent une série d’informations.

Association Belge du Marketing Direct (www.bdma.be)

Cette association a pour but de promouvoir et de défendre le marketing direct.

Authenticité (sécurité de l'information)

L'authenticité est la propriété d'une entité d'être bien celle qu’elle prétend être.
L'authenticité s'applique tant aux personnes (utilisateurs) qu'à n’importe quelle autre entité (application, processus, système, etc.). Elle implique une identification, c'est-à-dire la reconnaissance d'une dénomination permettant de désigner l'entité sans équivoque.

Authentification

Processus qui consiste à vérifier l’identité prétendue d’une entité donnée (telle qu'une personne). L’authentification peut en général être faite de différentes manières :

  • soit par un élément qu'on est le seul à connaître, tel un mot de passe ("ce que l’on sait"),
  • soit par le fait qu’on détienne un objet, tel qu’un badge ("ce que l’on détient"),
  • soit par "ce que l’on est", telle l’utilisation d’une caractéristique biométrique.

Si l'identification permet de connaître une identité d'une entité, c'est-à-dire de déterminer l'identité d'un individu au sein d'une certaine population, l'authentification vise à vérifier cette identité (obtenir l'assurance que l'individu est bien la personne qu'il prétend être).

Haut de page

B

Bannière

Une bannière est un message publicitaire sur un site Internet. Ce n'est qu'en cliquant sur la bannière que vous ouvrez une page où figurent de plus amples informations sur le produit proposé. Auparavant, les bannières apparaissaient surtout sous la forme d'un pop-up, ce qui pouvait parfois être très ennuyeux. À présent, vous ne les voyez que lorsque vous passez votre souris dessus, après quoi vous avez la possibilité de les ouvrir ou non.

Biens (sécurité de l'information)

Les biens (le "patrimoine", les "actifs" ou les "avoirs") d’un organisme, c’est tout ce qui a une quelconque valeur pour lui ou, en d’autres mots, tout ce qui ajoute de la valeur à l’organisme, ou encore, tout ce dont la perte aurait pour conséquence de diminuer la valeur ou l'efficacité de l’organisme.
Dans le cadre de la sécurisation des données à caractère personnel, sont considérés comme biens les données à caractère personnel et toutes les ressources nécessaires à leur traitement correct comme :

  • les biens matériels abritant les données (les bâtiments, les machines, le matériel informatique, etc.) ;
  • les logiciels nécessaires au traitement des données (les applications et les programmes utilisés, les systèmes d'exploitation, etc.) ;
  • les informations utilisées dans le cadre des traitements des données et pouvant être mémorisées sous différentes formes : dans des bases de données, sur des documents papier, etc.) ;
  • l’infrastructure (les services de base nécessaires à l’organisme pour atteindre son but : énergie électrique, éclairage, communications, transports, ascenseurs, etc.) ;
  • le personnel (les travailleurs de l'organisme, le personnel temporaire, etc.) ;
  • les biens intangibles (la réputation, l’image de marque, les valeurs éthiques, etc.) ;
  • les ressources financières nécessaires au bon fonctionnement de l’organisme.
Binding Corporate Rules (BCR)

Ce sont des règles élaborées par des entreprises multinationales, qui doivent être obligatoires pour l'ensemble de leurs entités et employés, et qui portent sur les transferts internationaux de données à caractère personnel qui sont réalisés au sein du groupe. Pour que les règles d'entreprises contraignantes soient considérées comme offrant des garanties suffisantes quant au respect de la protection des données, il faut qu'elles soient approuvées par les autorités nationales de protection des données compétentes. Au niveau européen, une procédure de coopération entre les différentes autorités nationales a été élaborée par le Groupe de travail Article 29. Au niveau belge, un protocole d'accord a été conclu entre le SPF Justice et la Commission vie privée concernant la mise en œuvre de la procédure nationale d'autorisation.

Biométrie

Utilisation de caractéristiques corporelles dans le but de déterminer ou de vérifier l'identité d'un individu. Techniquement, différentes caractéristiques sont utilisables tels que l’ADN, la rétine, l’iris, les empreintes digitales, la géométrie du contour de la main, la reconnaissance faciale, la voix, l’écriture manuscrite, la manière de taper sur un clavier d’ordinateur ou de se déplacer, etc.

De telles techniques tendent à se populariser : contrôles d'accès à des bâtiments à l'aide de la paume de la main, ouverture d'une session sur PC avec l'empreinte digitale, etc.

BYOD

BYOD désigne le concept d’entreprise où les travailleurs utilisent leur propre matériel (en partie) à des fins professionnelles.

Haut de page

C

Caméra de surveillance (Loi caméras)

La loi décrit une caméra de surveillance comme tout système d'observation fixe ou mobile dont le but est :

  • de prévenir, de constater ou de déceler les délits, ou
  • de prévenir, de constater ou de déceler les nuisances, ou
  • de maintenir l'ordre.

À cet effet, le système collecte, traite ou sauvegarde des images.

Caméra mobile

Il s'agit d'une caméra de surveillance utilisée par les services de police et qui est déplacée au cours de l’observation afin de filmer à partir de différents lieux ou positions. De telles caméras ne peuvent être utilisées que de manière non permanente et que dans le cadre de grands rassemblements tels que des manifestation sur la voie publique, des matches de football, des concerts, etc.

Commission de la protection de la vie privée

La Commission de la protection de la vie privée ("Commission vie privée") est un organisme indépendant créé par la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel ("loi vie privée"). Elle veille à ce que les données à caractère personnel soient traitées dans le respect de ladite loi, de manière à préserver la vie privée des citoyens.

Commission vie privée

La Commission de la protection de la vie privée ("Commission vie privée") est un organisme indépendant créé par la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel ("loi vie privée"). Elle veille à ce que les données à caractère personnel soient traitées dans le respect de ladite loi, de manière à préserver la vie privée des citoyens.

Confidentialité (sécurité de l'information)

La confidentialité est la propriété d'une information de ne pouvoir être accédée que par des personnes, entités ou processus autorisés et de ne pouvoir être divulguée qu'à des personnes, entités ou processus autorisés.
Cette possibilité d’accorder un accès sélectif aux informations doit être assurée tout au long de la vie de ces informations notamment au cours de leurs collectes, de leur conservation, de leurs traitements et de leurs communications.
En pratique, les seules personnes autorisées à accéder aux données à caractère personnel sont les personnes dont la fonction ou les activités professionnelles justifient cet accès.
Les degrés de confidentialité dépendent de la nature des informations.

Conforme aux clauses-types de la Commission européenne

Par contrat conforme aux clauses-types de la Commission européenne, il convient d’entendre :

  • les clauses identiques aux clauses-types approuvées par la Commission européenne et complétées aux points spécifiquement prévus à cet effet (telles que les annexes, les noms des parties, d’autres points spécifiques, tels que par exemple la clause 5.b de la clause-type 2001/497/CE, etc.) ;
  • les clauses marginalement modifiées (par exemple ponctuation, traduction) et dont les modifications ne changent ni le sens, ni la portée des clauses-types ni ne portent atteinte aux libertés et droits fondamentaux des personnes concernées ;
  • les clauses types insérées dans un contrat plus large ainsi que l’ajout d’autres clauses, notamment commerciales, à condition qu’elles ne contredisent pas, directement ou indirectement, les clauses contractuelles types et qu’elles ne portent pas atteinte aux libertés et aux droits fondamentaux des personnes concernées.

Voir l’article 8 du Protocole signé conjointement par le Ministre de la Justice et par le Président de la Commission vie privée le 25 juin 2013.

Conseiller en sécurité
Pour pouvoir traiter certaines données à caractère personnel, une autorisation d'un ou de plusieurs comités sectoriels de la Commission pour la protection de la vie privée est requise. Dans le cadre de ces procédures d'autorisation, la désignation d'un conseiller en sécurité doit parfois être communiquée au comité sectoriel compétent et/ou validée par lui.Le conseiller en sécurité est l'instigateur et le moteur de la politique de sécurité de l'information. C'est lui qui fait des propositions, qui fixe les objectifs à atteindre, qui suit et conseille les différentes personnes qui interviennent lors de la mise en place du système de sécurisation, …. Il analyse et étudie les incidents de sécurité et propose des mesures de gestion. Il rapporte directement à la direction ou à l'organe ultime de décision.
Consentement indubitable

C'est un consentement :

  • qui a été donné tout à fait volontairement. En d'autres termes, aucune pression n'a été exercée sur la personne concernée pour qu'elle dise "oui" ;
  • qui est spécifique. Cela signifie que le consentement concerne un traitement bien précis ;
  • en connaissance de cause. La personne a reçu toutes les informations utiles concernant le traitement envisagé.

Il n'est pas nécessaire que le consentement soit donné par écrit, mais alors le problème de la charge de la preuve se pose en cas de difficultés.

Cookies

Il s'agit de petits élements d’information qu’un site web donné installe sur l'ordinateur du visiteur du site web dans l'intention de renvoyer cette information vers le site web lors d’une consultation ultérieure. Il est ainsi possible de tenir aisément à jour des informations sur les utilisateurs d'Internet.

Courtage de profils personnels

Transmission à des tiers ou traitement pour compte de tiers de profils appliqués à des individus par évaluation, classification ou (éventuellement) décision découlant du profilage. Ce courtage passe souvent par des intérmédiaires.

Courtier d'adresses (listbroker)

Un courtier d'adresses ou "listbroker" (dans le cadre du marketing direct) joue le rôle d'intermédiaire entre les propriétaires ("listmakers") et les utilisateurs d'un fichier d'adresses. Il met les utilisateurs potentiels d'adresses en contact avec les propriétaires de fichiers d'adresses ou " listmakers" qu'il choisit avec une grande liberté.

Cyberslacking

Utilisation de l'e-mail et d'Internet sur le lieu de travail par les travailleurs à des fins privées. Les activités qui peuvent en faire partie sont l'envoi d'e-mails personnels, le shopping en ligne, les transactions bancaires en ligne, le visionnage de vidéos, les jeux en ligne, bref : l'utilisation d'Internet et de l'e-mail au travail mais pas à des fins de productivité (uniquement à des fins personnelles).

Haut de page

D

Data Mining (Exploration de données)

L'exploration de données ou "data mining" est une science récente mais populaire qui combine des éléments de statistique, de banques de données et d'intelligence artificielle. Il s'agit d'un processus par lequel de grandes quantités de données sont analysées afin de repérer certains modèles. Ces modèles peuvent ensuite faire l'objet d'une interprétation qui doit à son tour fournir de nouvelles connaissances relatives aux données. Plusieurs domaines utilisent cette technique, par exemple le monde médical, le monde des assurances, le secteur du marketing, …

Data Warehousing (Entrepôt de données)

Un entrepôt de données ou "data warehousing" est le phénomène par lequel on collecte grande quantité de données sur un sujet prédéterminé. Ces données peuvent ensuite faire l'objet d'une analyse précise pour trouver une réponse à certaines questions relatives à ce sujet. Cette technique est largement appliquée dans le monde du marketing (l'étude précise d'un groupe cible est de la plus grande importance pour ce secteur, étant donné que de cette manière, il est possible d'anticiper des besoins spécifiques). Un exemple bien connu est la carte de fidélité. Le client reçoit un avantage en échange d'une carte de fidélité. Dans de nombreux cas, cet avantage est une réduction ou on travaille avec un système de points à épargner. À chaque achat, le client doit présenter sa carte de fidélité qui est ensuite scannée. Puisque le client s'identifie, on peut relier à ce client les codes-barres des produits également scannés ainsi que le moment de l'achat. Dans le système, on dispose donc d'une énorme quantité de données relatives aux produits vendus, y compris le moment de l'achat et les données des clients.

Date de régularisation

Date que le prêteur doit communiquer à la Centrale des crédits aux particuliers au plus tard 8 jours ouvrables après la régularisation du contrat de crédit.

Direct marketing

Le marketing direct peut être défini comme : "l'ensemble des activités ainsi que tout service auxiliaire à celles-ci permettant d'offrir des produits et des services ou de transmettre tous autres messages publicitaires à des segments de population, par le moyen du courrier, du téléphone ou d'autres moyens directs dans le but d'information ou afin de solliciter une réaction de la part de la personne concernée."
(Sources: Conseil de l'Europe, Recommandation R(85) 20 du Comité des Ministres aux Etats membres relative à la protection des données à caractère personnel utilisées à des fins de marketing direct, 25 octobre 1985; Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, Journal officiel des communautés européennes, L281/21, 23 novembre 1995.)

Directive relative à la protection des données

La Directive 95/46/CE du parlement européen et du conseil du 24 octobre 1995relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elle est disponible en ligne.

Disclaimer

Un "disclaimer" est une déclaration générale sur un site Internet dans laquelle sont définis les droits et obligations de toutes les parties concernées, par exemple dans la déclaration vie privée du site ou dans un contrat.

Disponibilité (sécurité de l'information)

La disponibilité est la propriété des informations, systèmes et processus d'être accessibles et utilisables sur demande d'une entité autorisée.

Donnée à caractère personnel

On entend par "donnée à caractère personnel" toute information se rapportant à une personne physique susceptible d’être identifiée, directement ou indirectement. La notion de données personnelles est donc très large. Aucune différence n’est faite entre des informations confidentielles, publiques, professionnelles ou non professionnelles.

Par exemple :  un identifiant, un nom, une photo, un numéro de sécurité sociale, un matricule interne, une plaque d’immatriculation, une adresse postale, une adresse e-mail, un numéro de téléphone, des données de localisation, un identifiant en ligne (adresse IP par exemple), un enregistrement vocal, ….

Attention, s’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, de cibler une personne (« singling out »), les données sont toujours considérées comme personnelles.

Données anonymes

Ce sont des données qui ne peuvent pas être mises en relation avec une personne identifiée ou identifiable et qui ne sont donc pas des données à caractère personnel.

Données biométriques

Il s'agit de données très spécifiques permettant d'identifier sans ambiguïté une personne sur la base de ses caractéristiques physiques ou comportementales. Qu'elles soient utilisées à des fins d'authentification/de vérification ou à des fins d'identification, toutes les caractéristiques précitées se distinguent par leur caractère à la fois :

  • universel (elles sont présentes chez tous les individus),
  • unique (elles varient d'un individu à un autre) et permanent (elles demeurent en principe présentes tout au long de la vie de l'individu concerné).

Les techniques biométriques peuvent être réparties en deux catégories principales, selon qu'elles font appel à des données physiques stables ou à des données comportementales.
Parmi les techniques basées sur des caractéristiques physiques et physiologiques, on citera par exemple la vérification des empreintes digitales, l'analyse de la forme du doigt, la reconnaissance de l'iris, l'analyse de la structure de l'ADN, etc. L'autre grande catégorie rassemble les techniques reposant sur l'utilisation de données comportementales, comme la vérification de la signature, l'analyse de la démarche ou du rythme de frappe sur un clavier, …

Données codées

Ce sont des données à caractère personnel qui ne peuvent être mises en relation avec une personne identifiée ou identifiable qu'au moyen d'un code.

Données sensibles

Certaines données à caractère personnel présentent un caractère plus sensible que d'autres. Le nom et l'adresse d'une personne sont plutôt des données anodines. Il n'en va pas de même pour ses convictions politiques, ses préférences sexuelles ou son passé judiciaire. La loi vie privée régit l'enregistrement et l'utilisation de ces données sensibles d'une manière plus stricte que les autres données à caractère personnel.

Il s'agit de données sur la race, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, la santé, la vie sexuelle, des suspicions, des poursuites, des condamnations pénales ou administratives. Il est en principe interdit de traiter de telles données.

Données à caractère personnel judiciaires

La Loi vie privée établit une distinction entre des données à caractère personnel ordinaires (telles que le nom, l’adresse et le numéro de téléphone) et un certain nombre de données à caractère personnel plus sensibles. Une catégorie de données sensibles concerne les données judiciaires.
La Loi vie privée définit également explicitement ce qu’il y a lieu d’entendre par données à caractère personnel judiciaires. Il s’agit plus concrètement de données à caractère personnel relatives (1) à des litiges soumis aux cours et tribunaux ainsi qu'aux juridictions administratives, (2) à des suspicions, des poursuites ou des condamnations ayant trait à des infractions, (3) ou à des sanctions administratives ou (4) des mesures de sûreté.
Le traitement de ces données judiciaires est en principe interdit, mais la Loi vie privée prévoit d’emblée plusieurs exceptions à cette interdiction.

Droit d'accès

La Loi vie privée accorde à chaque personne concernée le droit d'accès aux données qui la concernent.

Pour exercer ce droit d'accès, la personne concernée adresse une demande écrite au responsable du traitement, tout en incluant une preuve de son identité.

Droit d'opposition

Il vous est à tout moment loisible de vous opposer à l'utilisation de données vous concernant, à condition, toutefois, d'avoir des motifs sérieux de le faire. Vous ne pouvez certes pas vous opposer à un traitement de données imposé par une loi ou par une disposition réglementaire, pas plus qu'à un traitement nécessaire à l'exécution d'un contrat auquel vous êtes partie, mais vous conservez toujours le droit de vous opposer à l'utilisation illégitime de vos données, de même que celui de vous opposer, gratuitement et sans justification, au traitement de vos données à des fins de marketing direct.

Vous devez adresser au responsable du traitement auquel vous désirez vous opposer une demande datée et signée, accompagnée d'une preuve de votre identité (par exemple une photocopie de votre carte d’identité). Cette demande peut être remise sur place, envoyée par voie postale ou faxée (une demande transmise par courriel ne sera recevable que si elle est revêtue d'une signature électronique). Le responsable du traitement dispose d’un mois pour vous répondre. S'il ne le fait pas ou si sa réponse n'est pas satisfaisante, vous pouvez solliciter la médiation de la Commission de la protection de la vie privée ou déposer plainte auprès des instances judiciaires.

Droit de rectification

Toute personne peut faire rectifier sans frais les données inexactes qui la concernent spécifiquement et faire supprimer d'autres données qui sont non pertinentes, incomplètes ou interdites ou encore interdire l'utilisation de ces données. Si le responsable du traitement ne réagit pas, la personne concernée peut s'adresser à la Commission vie privée qui initiera une procédure de médiation. La personne concernée peut également porter plainte auprès des instances judiciaires.

Droit à l'image

Le droit à l'image (développé tant par la jurisprudence que par la doctrine) est un droit par lequel le consentement de la personne représentée est requis pour toute représentation humaine mais également pour l'utilisation de cette image à des fins non autorisées.

Ce n'est que dans certains cas que l'exigence du consentement ne s'applique pas.

Ce droit à l'image est indépendant de la protection de la vie privée, alors que l'on pense parfois à tort qu'il en fait partie. Bien que ces deux domaines se chevauchent dans une certaine mesure, le droit à l'image ne fait pas partie de la protection de la vie privée.

Déclaration

La déclaration est un acte par lequel le responsable du traitement informe la Commission vie privée qu'il va effectuer un traitement de données à caractère personnel. Une déclaration ne sert pas à demander un permis ou une autorisation, mais uniquement à déclarer un traitement. La déclaration consiste principalement en une description du traitement de données.

Déclaration VIA/DPR

Cette "VoorIngevulde Aangifte / Déclaration Pré Remplie" offre aux organisations (professionnelles) la possibilité de mettre à la disposition de leurs membres un formulaire de déclaration qui a déjà été rempli partiellement par l'organisation.

Haut de page

E

eID

Il s'agit de la carte d'identité électronique, qui a été distribuée progressivement ces dernières années. Elle est pourvue d'une puce électronique qui contient non seulement toutes les informations qui sont visibles à l'œil nu sur la carte (nom, prénom, photo, numéro de Registre national, etc.) mais également d'autres informations, dont l'adresse, qui n'est donc plus visible à l'œil nu. La puce contient également des "certificats digitaux", qui permettent de bénéficier d'applications administratives en ligne, d'envoyer des documents électroniques et des e-mails recommandés, etc

Enceinte

Par "enceinte", il faut au minimum comprendre une délimitation visuelle, par exemple, un panneau avec l'inscription "privé" ou "réservé à la clientèle". La délimitation doit bien entendu être faite de manière légitime.

Entrepôt de données ("data warehousing")

Un entrepôt de données ou "data warehousing" est le phénomène par lequel on collecte grande quantité de données sur un sujet prédéterminé. Ces données peuvent ensuite faire l'objet d'une analyse précise pour trouver une réponse à certaines questions relatives à ce sujet. Cette technique est largement appliquée dans le monde du marketing (l'étude précise d'un groupe cible est de la plus grande importance pour ce secteur, étant donné que de cette manière, il est possible d'anticiper des besoins spécifiques). Un exemple bien connu est la carte de fidélité. Le client reçoit un avantage en échange d'une carte de fidélité. Dans de nombreux cas, cet avantage est une réduction ou on travaille avec un système de points à épargner. À chaque achat, le client doit présenter sa carte de fidélité qui est ensuite scannée. Puisque le client s'identifie, on peut relier à ce client les codes-barres des produits également scannés ainsi que le moment de l'achat. Dans le système, on dispose donc d'une énorme quantité de données relatives aux produits vendus, y compris le moment de l'achat et les données des clients.

Espace économique européen

Il s'agit d'un accord d'association entre les membres de la Communauté européenne et trois membres de l'association européenne de libre-échange (AELE) : l'Islande, la Norvège et le Liechtenstein.

Exemption de déclaration

Les traitements de données à caractère personnel ne doivent pas tous être déclarés. Outre les fichiers manuels (par exemple sur papier ou microfiche), une série de traitements automatisés sont dispensés de l'obligation de déclaration. Ceux-ci sont énumérés dans l'arrêté d'exécution du 13 février 2001 et concernent quelques traitements parmi les plus courants (par exemple, la gestion du personnel, la comptabilité, la gestion de la clientèle, la gestion des salaires, …). L'exemption de déclaration ne signifie cependant pas que les autres obligations découlant de la loi ne doivent pas être respectées.

Exploration de données ("data mining")

L'exploration de données ou "data mining" est une science récente mais populaire qui combine des éléments de statistique, de banques de données et d'intelligence artificielle. Il s'agit d'un processus par lequel de grandes quantités de données sont analysées afin de repérer certains modèles. Ces modèles peuvent ensuite faire l'objet d'une interprétation qui doit à son tour fournir de nouvelles connaissances relatives aux données. Plusieurs domaines utilisent cette technique, par exemple le monde médical, le monde des assurances, le secteur du marketing, …

 

Haut de page

F

Fiabilité (sécurité de l'information)

La fiabilité est la propriété de se comporter et de fournir des résultats conformes aux attentes.
La fiabilité se définit aussi comme la propriété d'être digne de confiance. On parlera souvent de données fiables pour des données qui sont exactes, précises et reproductibles.

Fichier des enregistrements régis

Fichier de la Centrale des Crédits aux Particuliers de la Banque nationale de Belgique, comportant un volet positif et un volet négatif, dans lequel sont enregistrés les contrats de crédit à la consommation et les contrats de crédit hypothécaire, autrement dit des contrats souscrits par des personnes physiques à des fins privées.

Fichier manuel

Un fichier manuel est un ensemble structuré de données à caractère personnel qui sont accessibles en fonction de critères déterminés. Les pages blanches sur papier en sont un exemple.

Fichiers des enregistrements non régis

Fichier tenu à jour par la Centrale des Crédits aux Particuliers de la Banque nationale de Belgique et dans lequel sont uniquement enregistrés des défauts de paiement.

Les données y enregistrées se rapportent elles aussi à des personnes physiques mais concernent des situations différentes de celles visées par la loi du 10 août 2001, comme :

  • le non-apurement d’une dette non autorisée liée à un compte courant ou à une carte "accréditive" (carte de paiement sans ouverture de crédit : la totalité du montant dû est automatiquement débitée du compte courant, par exemple un mois après l’achat) ;
  • le non-remboursement d’un crédit souscrit dans un but professionnel.
Fins historiques, statistiques ou scientifiques
  • Une recherche historique concerne le traitement de données à caractère personnel ayant pour finalité d'analyser un événement passé ou de permettre cette analyse. Il peut également s'agir d'un traitement à des fins scientifiques, mais ce n'est pas obligatoire (un généalogiste peut dès lors recourir à cette disposition).
  • Une finalité statistique comprend toute opération de collecte et de traitement de données à caractère personnel nécessaire aux enquêtes statistiques ou à la production d'un résultat statistique.
  • Une recherche scientifique vise à établir des permanences, des lois de comportement ou des schémas de causalité qui transcendent tous les individus qu'ils concernent.
Floutage

Le fait de rendre non reconnaissables une photo ou une image vidéo ou des parties de celles-ci.

Haut de page

G

Gabarit

Dans le contexte de la biométrie, s'oppose à la donnée biométrique brute, telle que l'image de la main ou de l’empreinte digitale. Le gabarit est un ensemble d'informations chiffrées obtenues à partir des caractéristiques les plus individuelles et uniques d’une donnée brute, et qui a pour objet de déterminer ou de vérifier l'identité d'un individu. Il est essentiel, par exemple lorsqu'on utilise la biométrie dans le cadre d'un contrôle d'accès, de ne pas stocker informatiquement la donnée biométrique brute, mais bien le gabarit qui en est déduit.

Gestion des risques (sécurité de l'information)

La gestion des risques vise à identifier les principaux risques, à discerner ceux qui doivent être traités et ceux qui sont acceptables, à mettre en œuvre les moyens de sécurité traitant les risques encourus par les données à caractère personnel selon une échelle de priorité. Les processus de gestion des risques forment un cycle qui est à répéter selon les particularités des systèmes et des risques identifiés. La gestion des risques débouche sur des processus de définition ou de mise à jour de la politique de sécurité et, souvent, sur des adaptations de l'organisation et des procédures de manière à mieux prendre en compte les nouveaux risques et les mesures de sécurité mises en œuvre.

Gestion quotidienne de la sécurité (sécurité de l'information)

La gestion quotidienne de la sécurité comprend notamment des activités comme l'administration des dispositifs de sécurité, la gestion des autorisations, l'analyse des incidents détectés.

Groupe de travail Article 29

Le Groupe de travail Article 29 sur la protection des données est un organe consultatif européen indépendant qui a notamment pour mission de contribuer à la mise en œuvre homogène de la Directive européenne 95/46/CE relative à la protection des données. Il communique des avis, des documents de travail et des recommandations qui sont librement accessibles sur Internet. Ce groupe est composé de représentants des différentes autorités nationales de protection des données, du contrôleur européen de la protection des données ainsi que de représentants de la Commission européenne.

Géolocalisation

La géolocalisation est un procédé permettant de positionner un objet ou une personne sur un plan ou une carte à l'aide de ses coordonnées géographiques.

Géolocalisation

La géolocalisation est un procédé permettant de positionner un objet ou une personne sur un plan ou une carte à l'aide de ses coordonnées géographiques.

Haut de page

H

Hameçonnage ("phishing")

Le "phishing" est une pratique qui consiste à faire croire à une personne qu'elle se trouve sur un site Internet légitime alors qu'en réalité, elle surfe sur un site habilement falsifié et qu'un fraudeur va s'approprier ses données. Le phénomène ne cesse de prendre de l'ampleur ces dernières années. De plus en plus de "marques" différentes ont été falsifiées, et il ne s'agit pas toujours de banques.

Haut de page

I

Impact (sécurité de l'information)

L’impact est la conséquence d'un incident sur un ou plusieurs biens (des données à caractère personnel ne sont plus exactes, par exemple).
En sécurité de l'information, on fait souvent la différence entre la conséquence directe (dommage au système d'information, comme la modification d'un fichier, l'accessibilité à une donnée confidentielle ou l'arrêt intempestif d'un système) et l'impact indirect (préjudice subi par l'organisme ou par des tiers, comme l'utilisation malveillante d'une information confidentielle, décision erronée suite à une donnée inexacte).
Il n'existe pas toujours de relation directe entre les conséquences directes d'un incident et l'impact indirect sur l'organisme ou sur des tiers : la perte d'une donnée élémentaire peut avoir des conséquences majeures pour la personne concernée alors que l'effacement complet d'un système peut ne nécessiter que la restauration du système depuis une copie de sauvegarde convenablement exécutée.

Imputabilité (sécurité de l'information)

L'imputabilité est la propriété qui garantit que les actions d'une entité sont tracées et attribuées à cette seule entité.
L'imputabilité assure de pouvoir identifier, pour toutes les actions accomplies, les personnes, les systèmes ou les processus qui les ont initiées (identification) et de garder trace de l'auteur et de l'action (traçabilité).

Incident (sécurité de l'information)

Un incident est un événement imprévu ou non espéré qui peut entraîner des conséquences, éventuellement importantes.
L'incident de sécurité de l'information est tout événement inattendu ou non espéré, susceptible de compromettre une activité ou la sécurité des informations de l'organisme (dysfonctionnement ou surcharge d'un système, erreur humaine, fonctionnement anormal ou inhabituel d'un logiciel ou d'un matériel). En soi, un incident n’est ni bon ni mauvais.

Intégrité (sécurité de l'information)

L’intégrité couvre deux aspects différents : l’intégrité des informations et l’intégrité des systèmes et processus.
L’intégrité d'une information est la propriété de ne pas être altérée ou détruite de manière non autorisée, volontairement ou accidentellement.
L’intégrité d'un système ou d'un processus est la propriété de réaliser la fonction désirée de façon complète et selon les attentes, sans être altérée par une intervention non autorisée, volontaire ou accidentelle.

Intérêt légitime

Nous parlons d'un intérêt légitime lorsque l'intérêt du responsable à traiter les données est supérieur à celui de la personne enregistrée à ce que ces données ne soient pas traitées. En cas de doute, c'est la Commission vie privée ou le juge qui décide quel intérêt prévaut.

Haut de page

L

Lieu fermé accessible au public (Loi caméras)


Tout bâtiment ou lieu fermé destiné à l'usage du public, où des services peuvent lui être fournis.
Exemples : un magasin, la salle des guichets d'une banque, un cinéma, un restaurant, un hôtel, les transports publics, une salle de spectacle, une salle de sport, un terrain de sport, un espace administratif, une église, un cabinet de médecin, un camping, …

Lieu fermé non accessible au public (Loi caméras)

Tout bâtiment ou lieu fermé destiné uniquement à l'usage des utilisateurs habituels.
Exemples : une habitation familiale, un immeuble à appartements, un immeuble de bureaux, une usine, une ferme, …

Lieu ouvert (Loi caméras)

Tout lieu non délimité par une enceinte (Il faut au minimum comprendre une délimitation visuelle, par exemple, un panneau avec l'inscription "privé" ou " réservé à la clientèle". La délimitation doit bien entendu être faite de manière légitime) et accessible librement au public.
Exemples : la voie publique, un parc, une place communale, un grand parking public, …

Listbroker (Courtier d'adresses)

Un courtier d'adresses ou "listbroker" (dans le cadre du marketing direct) joue le rôle d'intermédiaire entre les propriétaires ("listmakers") et les utilisateurs d'un fichier d'adresses. Il met les utilisateurs potentiels d'adresses en contact avec les propriétaires de fichiers d'adresses ou " listmakers" qu'il choisit avec une grande liberté.

Liste des électeurs

Document dressé par les autorités communales en vue d'une élection déterminée. Contenant un certain nombre de données à caractère personnel (telles que le nom, le prénom, la date de naissance, le sexe et l'adresse), il peut être délivré sur papier ou sur support magnétique.

Les listes des électeurs sont communiquées par les administrations communales :

  • aux personnes agissant au nom de partis politiques ;
  • à toute personne se portant candidate.

 

Listmaker (Propriétaire de fichiers)

Un propriétaire de fichiers ou "listmaker" (dans le cadre du marketing direct) est toute personne ou entreprise ayant constitué ou acheté un fichier d'adresses et qui dispose du droit d'utilisation et de disposition de ces fichiers (il peut par exemple vendre ou louer le fichier d'adresses à des tiers).

Loi caméras

La loi du 21 mars 2007 réglant l'installation et l'utilisation de caméras de surveillance (publiée au Moniteur belge du 31 mai 2007). La loi caméras s'applique à l'installation et à l'utilisation de caméras de surveillance en vue de la surveillance et du contrôle.

Loi vie privée

La Loi vie privée (officiellement la Loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel) vise à protéger le citoyen contre toute utilisation abusive de ses données à caractère personnel. Elle définit non seulement les droits et devoirs de la personne dont les données sont traitées mais aussi ceux du responsable d'un tel traitement.

Haut de page

M

Marketing direct

Le marketing direct est une notion assez complexe et couvre de nombreux aspects. Quoi qu'il en soit, il a une signification plus large que la " publicité". Selon la définition européenne officielle, il s'agit de : " l'ensemble des activités ainsi que tout service auxiliaire à celles-ci permettant d'offrir des produits et des services ou de transmettre tous autres messages publicitaires à des segments de population par le moyen du courrier, du téléphone ou d'autres moyens directs dans le but d'information ou afin de solliciter une réaction de la part de la personne concernée".

Marketing viral

Il s'agit d'inciter une personne à communiquer des données à caractère personnel d'amis ou de connaissances en échange d'un cadeau ou d'une réduction. Les données à caractère personnel ainsi obtenues sont ensuite utilisées à des fins de marketing direct. L'équilibre fait ici défaut parce que les amis et/ou connaissances concernés ne sont généralement pas informés et ne peuvent pas non plus donner leur consentement, perdant ainsi le contrôle sur les traitements de leurs propres données à caractère personnel.

Menace (sécurité de l'information)

Une menace, c’est tout événement inattendu ou inespéré susceptible de porter préjudice à un des biens de l’organisme et donc, de nuire à la protection des données à caractère personnel.
Les menaces peuvent être d’origine environnementale (incendie), technique (pannes de systèmes) ou humaine.
Les menaces d’origine humaine peuvent être accidentelles (erreurs, omissions, procédures inappropriées) ou délibérées (malveillance, intrusion, vol), d’origine interne (divulgation d'information) ou externe (espionnage industriel).

Mesures de référence en matière de sécurité applicables à tout traitement de données à caractère à personnel

L'élaboration d'une politique de sécurité peut s'appuyer sur diverses recommandations et modèles internationaux. De son côté, la Commission vie privée a, elle aussi, élaboré son propre modèle destiné à aider le responsable d'un traitement à sécuriser les données à caractère personnel qu'il a l'intention de traiter, également connu sous le nom de "normes minimales de sécurité" ou de "mesures de référence en matière de sécurité applicables à tout traitement de données à caractère personnel".

Mesures de sécurité (sécurité de l'information)

Les mesures de sécurité, appelées aussi "mesures de protection" ou " contrôles de sécurité" sont des procédés ou dispositifs susceptibles de réduire les risques. Les mesures de sécurité peuvent être efficaces de différentes manières : en diminuant les possibilités d'une menaces, en corrigeant les vulnérabilités ou encore en limitant les opportunités de conséquences directes ou d'impacts indirects. Il est aussi possible d'agir sur le facteur temps. En effet, en détectant mieux et plus tôt les incidents, il est possible d’agir avant une dégradation significative.

Mobile Mapping

Technologie par laquelle un véhicule équipé de caméras et/ou d'un scanner peut enregistrer numériquement toutes les données d'une route spécifique, notamment par la prise de photos à 360°. L'application "Google Street View" est un exemple d'une telle technologie.

Modèles de contrats-type

Modèles de contrats-type adoptés par la Commission européenne et qui sont mis à la disposition des personnes qui souhaitent réaliser des flux internationaux de données dans le respect des conditions légales européennes de protection des données relatives aux flux transfrontières (article 25 et suivants de la Directive 95/46/CE). En signant ces modèles de contrats-type, les parties signataires seront considérées comme offrant des garanties suffisantes au regard de la protection de la vie privée.

Haut de page

N

Non-répudiation (sécurité de l'information)

La non répudiation est la propriété d'une action ou d'un événement d'avoir bien eu lieu et de ne pouvoir être niée ou nié ultérieurement. Dans le domaine du courrier électronique, par exemple, la non répudiation est utilisée aussi bien pour garantir que le destinataire ne puisse nier avoir reçu l’information que pour garantir que l’expéditeur ne puisse nier avoir envoyé l’information.

Normes minimales de sécurité

L'élaboration d'une politique de sécurité peut s'appuyer sur diverses recommandations et modèles internationaux. De son côté, la Commission vie privée a, elle aussi, élaboré son propre modèle destiné à aider le responsable d'un traitement à sécuriser les données à caractère personnel qu'il a l'intention de traiter, également connu sous le nom de "normes minimales de sécurité" ou de "mesures de référence en matière de sécurité applicables à tout traitement de données à caractère personnel" LINK NAAR DOC TOEVOEGEN.

Haut de page

O

Obligation d'information

Toute personne physique a le droit de savoir qui traite quelles données à caractère personnel la concernant. La personne concernée a également le droit de savoir pour quelles finalités ses données à caractère personnel sont traitées. Cette obligation est une concrétisation du principe de transparence et connaît quelques exceptions.
Il incombe au responsable du traitement de respecter cette obligation d’information.

Opt-in

Par ce système, vous donnez votre consentement préalable pour que des messages commerciaux vous soient envoyés. Le système d'opt-in vaut pour toute forme de communication. Avec ce système, vous pouvez, comme l'exige la loi vie privée, donner votre consentement libre, spécifique et informé.

Le système d'opt-in est généralement utilisé lorsqu'on souhaite envoyer des courriers électroniques de manière massive et régulière, comme par exemple une newsletter, des revues virtuelles, des offres promotionnelles. Vous vous inscrivez en complétant votre adresse e-mail sur un formulaire spécifique sur un site Internet. Le but de l'opt-in est que vous sachiez précisément au préalable à quoi vous vous inscrivez, de manière à ne pas avoir de mauvaises surprises par la suite.

Opt-out

Grâce à l'opt-out, vous pouvez, comme la loi vie privée l'exige, vous opposer à tout traitement de vos données à caractère personnel à des fins de marketing direct. L'opt out est donc l'inverse de l'opt-in.
Dans ce cas, vous recevez d'abord un message non sollicité mais avec la possibilité de vous désinscrire, de manière à ne plus recevoir ces messages à l'avenir. Ce système n'est autorisé qu'à condition que l'expéditeur ait obtenu votre adresse (e mail) directement auprès de vous lorsque vous avez acheté un produit ou un service chez lui, qu'il n'utilise votre adresse (e-mail) que pour des produits ou services similaires à ceux qu'il fournit lui-même et qu'au moment où il a obtenu votre adresse (e-mail), il vous ait offert la possibilité de vous y opposer gratuitement et facilement. En outre, le secteur du marketing direct a également créé les listes Robinson.

Organisation intermédiaire

La personne physique, la personne morale, l'association de fait ou l'administration publique, autre que le responsable du traitement des données non codées, qui code des données à caractère personnel.

Haut de page

P

Personne concernée

Chacun de nous est une personne concernée. Vous divulguez vos données à caractère personnel dès que, par exemple :

  • vous complétez un formulaire ;
  • vous passez une commande ;
  • vous réservez une place pour un concert ;
  • vous réservez un billet de train ;
  • vous utilisez une carte de crédit ;
  • vous vous inscrivez à un cours ou dans un club sportif ;
  • vous vous faites hospitaliser ;
  • vous empruntez un livre dans une bibliothèque publique ou un dvd dans une vidéothèque.

La loi ne fait aucune distinction entre les Belges et les non Belges.

Phishing (Hameçonnage)

Le "phishing" est une pratique qui consiste à faire croire à une personne qu'elle se trouve sur un site Internet légitime alors qu'en réalité, elle surfe sur un site habilement falsifié et qu'un fraudeur va s'approprier ses données. Le phénomène ne cesse de prendre de l'ampleur ces dernières années. De plus en plus de "marques" différentes ont été falsifiées, et il ne s'agit pas toujours de banques.

Photo ciblée

Il s'agit plutôt d'une photo individuelle ou d'une photo pour laquelle une ou plusieurs personnes sont mises en évidence lors d'une activité de groupe, ou encore d'une photo pour laquelle on pose, même au sein d'un groupe, par exemple la traditionnelle photo de classe.

Photo non ciblée

Ici, on vise plutôt une photo qui donne une idée générale et plutôt spontanée de l'ambiance, sans que les personnes ne posent, par exemple une activité ou un événement, sans qu'une ou plusieurs personnes ne soient spécifiquement mises en lumière. Par exemple une photo de groupe de la classe lors d'une balade en forêt, d'une activité sportive, …

Principe de finalité

En vertu de la Loi vie privée, les données à caractère personnel ne peuvent être traitées en vue d'une ou plusieurs finalités légitimes, ce qui implique qu'il doit toujours y avoir une raison concrète pour laquelle les données à caractère personnel seront traitées, et que cette raison doit être établie précisément avant le début du traitement.

La finalité est la pierre angulaire de la Loi vie détermine et elle détermine le cadre dans lequel les données à caractère personnel peuvent être traitées, par exemple : quelles données sont traitées, qu'en fait-on de ces données, sont-elles communiquées à des tiers, ...

Principe de proportionnalité

Le principe de proportionnalité mentionné dans la loi vie privée implique que l'on ne peut collecter que les données à caractère personnel qui sont "adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement".

Cela suppose que seules les données pertinentes et nécessaires peuvent être collectées. Ainsi, un commerçant peut demander le nom et l'adresse de ses clients pour pouvoir leur envoyer des factures. En principe, il n'a a priori pas de raison de demander aussi la date de naissance ou la profession de ses clients. Pour une école, il n'est pas nécessaire de demander le salaire des parents. Pour l'inscription dans une bibliothèque publique, il n'est pas pertinent de connaître l'état civil de la personne qui s'inscrit.

Principes de la sphère de Sécurité (ou Safe Harbor Principles)

Les principes de la sphère de Sécurité ont été développés par le Département du Commerce américain, en concertation avec la Commission européenne, afin de faciliter la transmission de données à caractère personnel de l'Union européenne vers les Etats-unis. Les sociétés qui déclarent auprès du Département du Commerce américain qu'elles ont adhéré à ces principes et qu'elles s'engagent à les respecter (ce qui implique notamment qu'elles se soumettent au contrôle du respect de ces principes par la "Federal Trade Commission" américaine), seront considérées comme offrant une protection adéquate au regard de la protection des données.

Privacy by design

La "privacy by design" part du principe qu'à un stade précoce de l'élaboration du traitement de données, on réfléchit à un bon usage des données à caractère personnel, à la nécessité d'utiliser et de protéger ces données. Inclure dès le développement de systèmes la protection des données à caractère personnel et de la vie privée maximalise les chances de succès.

Privacy impact assessment

Cette évaluation a pour but de déterminer les risques d'un traitement défini de données à caractère personnel pour les personnes concernées et de prendre des mesures où cela est nécessaire.

Profilage

Le profilage est un traitement de données (à caractère personnel) automatisé qui a pour but d'appliquer à un individu une évaluation, un classement ou une décision sur la base de la comparaison et de l'agrégation de données à caractère personnel.

Propriétaire de fichiers (listmaker)

Un propriétaire de fichiers ou "listmaker" (dans le cadre du marketing direct) est toute personne ou entreprise ayant constitué ou acheté un fichier d'adresses et qui dispose du droit d'utilisation et de disposition de ces fichiers (il peut par exemple vendre ou louer le fichier d'adresses à des tiers).

Publicité

Il n'existe pas de définition légale univoque de la notion de "publicité". Ainsi, la loi du 11 mars 2003 sur certains aspects juridiques des services de la société de l'information définit la publicité comme étant "toute forme de communication destinée à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une entreprise, d'une organisation ou d'une personne ayant une activité commerciale, industrielle ou artisanale ou exerçant une activité réglementée". La loi du 14 juillet 1991 sur les pratiques du commerce et sur l'information et la protection du consommateur définit à nouveau la publicité comme étant "toute communication ayant comme but direct ou indirect de promouvoir la vente de produits ou de services, quel que soit le lieu ou les moyens de communication mis en œuvre". En tout cas, il est clair que la " publicité" couvre un domaine plus restreint que la notion de "marketing direct" .

Haut de page

R

Registre de la population

Chaque commune doit tenir un registre de la population qui contient toutes les données officielles relatives à ses habitants. La législation détermine son contenu ainsi que les règles que les communes doivent respecter pour la tenue de ces registres. Les données reprises dans le registre de la population sont des données à caractère personnel car elles constituent des informations concernant une personne physique identifiée ou identifiable. La Loi vie privée est donc d'application. Le registre de la population contient des données évidentes telles que le nom, le prénom, la date de naissance et la résidence principale mais également des données moins évidentes telles que par exemple la déclaration relative à la transplantation d'organes et de tissus après le décès ou les brevets de pension. Il est important de noter qu'il est explicitement prévu que le Collège des bourgmestre et échevins est le responsable du traitement.

Registre public

Le registre public est une liste des traitements de données à caractère personnel qui ont été déclarés auprès de la Commission vie privée. Toute personne peut consulter cette liste, entre autres sur Internet (sur le site web de la Commission vie privée, via le bouton sur la page d'accueil).

Responsable du traitement

Il est très important de savoir qui la loi vie privée désigne en tant que " responsable du traitement". C'est en effet cette personne qui doit respecter quasiment toutes les obligations imposées par la loi vie privée. Si des difficultés se présentent, elle est donc responsable.

Le responsable du traitement est également le principal interlocuteur pour vous, en tant que personne concernée, mais aussi pour les instances qui doivent le contrôler.

C'est aussi lui qui détermine les finalités et les moyens du traitement de données. Il peut s'agir d'une personne physique, d'une personne morale, d'une association de fait ou d'une administration publique.

Si une loi, un décret ou une ordonnance prescrit la finalité et les moyens d'un traitement de données déterminé, le responsable du traitement est celui que cette loi, ce décret ou cette ordonnance désigne spécifiquement à cet effet.

Risque (sécurité de l'information)

Le risque est la probabilité qu'une menace donnée exploite des vulnérabilités d'un bien ou d'un groupe de biens et donc occasionne un dommage à l'organisme (exemple : effacement d'un fichier par un virus). Il est mesuré en terme de combinaison de probabilité d'un événement et de ses conséquences.

Un risque est donc caractérisé par deux facteurs : la probabilité qu’un incident se produise et l’importance des conséquences directes et des impacts indirects potentiels.
Le risque peut aussi dépendre du facteur temps : après un incident, la situation peut se dégrader progressivement si l'on ne prend pas les mesures correctives suffisamment tôt (exemple : erreur de logiciel affectant une base de données, programme espion collectant des mots de passe, des clés cryptographiques ou des codes PIN). Un incident bénin au moment de sa survenue peut ainsi conduire à des situations catastrophiques.

Risques résiduels (sécurité de l'information)

Les risques résiduels sont les risques qui restent après le traitement du risque, c'est-à-dire après la mise en œuvre des mesures de protection.

Règlement de systèmes d’alerte interne professionnelle

Une procédure qui décrit la manière dont un travailleur peut signaler certaines (suspicions de) situations abusives dans une entreprise ou dans une administration publique.

Règles d'entreprise contraignantes (Binding Corporate Rules ou BCRs)

Ce sont des règles qu'une entreprise multinationale peut adopter, qui doivent être obligatoires pour l'ensemble de ses entités, et qui portent sur les transferts internationaux de données personnelles qui sont réalisés au sein du groupe. Pour que les règles d'entreprises contraignantes soient considérées comme offrant des garanties suffisantes quant au respect de la protection des données, il faut qu'elles soient autorisées par les autorités nationales de protection des données compétentes. Une procédure de coopération entre les différentes autorités nationales a été élaborée par le Groupe de travail Article 29.

Régularisation (crédit)

Les échéances en retard ont été payées ou la totalité du crédit a été remboursée.

Haut de page

S

Safe Harbor principles (ou Principes de la sphère de Sécurité)

Les principes de la sphère de Sécurité ont été développés par le Département du Commerce américain, en consultation avec la Commission européenne, afin de faciliter la transmission de données à caractère personnel de l'Union européenne vers des entreprises américaines. Les sociétés qui déclarent auprès du Département du Commerce américain qu'ils ont adhéré à ces principes et qu'ils s'engagent à les respecter (ce qui implique notamment qu'ils se soumettent au contrôle du respect de ces principes par la "Federal Trade Commission" américaine), seront considérées comme offrant une protection adéquate au regard de la protection des données.

Services de réseaux sociaux

On peut globalement les décrire comme des plateformes de communication en ligne sur lesquelles des personnes peuvent participer à des réseaux d’utilisateurs partageant la même opinion ou peuvent mettre sur pied de tels réseaux. Il s’agit donc d’un environnement en ligne où vous pouvez rencontrer d'autres personnes et rester en contact avec elles, par exemple vos amis et votre famille, en envoyant des messages et en téléchargeant des photos et d'autres fichiers. Les sites de réseaux sociaux peuvent varier d’un groupe cible à l'autre. Il en existe par exemple pour répondre à des finalités professionnelles ou personnelles. Sur ce genre de site, vous créez un profil personnel que vous pourrez ensuite lier aux profils d'autres participants du même réseau social

Sous-traitant

C'est la personne physique, la personne morale, l'association de fait ou l'administration publique qui traite des données à caractère personnel pour le compte du responsable du traitement (il ne s'agit pas ici des personnes qui, sous l'autorité directe du responsable du traitement, sont autorisées à traiter les données).

Spam ou pourriel

Il n'existe à proprement parler aucune définition légale du "spam". En général, ce terme renvoie à des courriers électroniques commerciaux non sollicités. Ces courriers électroniques sont généralement envoyés de manière massive et répétée. Il est important de savoir que tous les courriers électroniques commerciaux non sollicités ne sont pas automatiquement illégaux.

L'envoi d'un courrier électronique commercial non sollicité ou "spam" est toujours interdit lorsque l'auteur du message :

  • camoufle ou masque son identité ;
  • ne mentionne pas son adresse valable à laquelle le destinataire peut lui demander de ne plus recevoir d'autres messages ;
  • a obtenu l'adresse e-mail du destinataire de manière irrégulière (par exemple au moyen de moteurs de recherche sur les espaces publics d'Internet ou si l'adresse e-mail a été transmise sans que la personne concernée n'en ait été informée et sans qu'elle n'ait eu la possibilité de s'y opposer ou d'y consentir).
Système de management (sécurité de l'information)

Le système de management visant à une amélioration continue de la sécurité. Il existe plusieurs modèles de système de management de la sécurité de l'information (ISMS - Information Security Management System). Le plus connu est basé sur une structure PDCA (Plan – Do – Check - Act). Cette amélioration continue se justifie par la nécessité d'adaptation à de multiples facteurs d'évolution comme les modifications de l'organisme et des risques associés, les modifications dans les systèmes d'information, les nouveautés technologiques tant pour les systèmes opérationnels que pour les dispositifs de sécurité.

Sécurité de l'information
La sécurité de l'information est l'ensemble de mesures de gestion qui veillent à ce que la confidentialité , l'intégrité et la disponibilité de toutes les formes d'information – tant sous la forme électronique (numérique) que papier – soient conservées, dans le but d'assurer la continuité des informations et de l'information et de limiter à un niveau acceptable prédéfini les éventuelles conséquences d'incidents en matière de sécurité de l'information.

Haut de page

T

Traces biométriques

Caractéristiques physiques qu’un être humain dépose quotidiennement - et souvent involontairement - autour de lui, et qui sont susceptibles de révéler son identité. Certaines données biométriques laissent de telles traces, comme des cheveux (qui contiennent de l’information relative à l’ADN de l’individu) ou les empreintes digitales. D’autres, telles que le réseau veineux du doigt ou de la main, le contour de la main, l'iris ou la rétine, ne laissent pas de traces dans l’environnement de l’individu.

Traitement de données à caractère personnel

Un traitement de données est toute opération ou ensemble d'opérations appliquées à des données à caractère personnel. Ces opérations sont particulièrement variées et concernent notamment la collecte, la conservation, l'utilisation, la modification, la communication des données.

Quelques exemples :

  • un hôtel qui offre la possibilité de réserver via Internet traite des données lorsqu'il enregistre le nom du client, les dates et son numéro de carte de crédit ;
  • la commune qui transmet le nom des personnes qui introduisent une demande de permis de bâtir à un entrepreneur qui souhaite leur envoyer de la publicité traite également des données à caractère personnel.

La loi s'applique dès que le traitement de données à caractère personnel s'effectue de manière automatisée, même partiellement. Cette manière automatisée de travailler concerne toutes les technologies de l'information : l'informatique, la télématique, les réseaux de télécommunication (Internet).

La loi vie privée s'applique par exemple :

  • à une banque de données informatisée d'une société dans laquelle sont enregistrés les clients ou les fournisseurs ;
  • à la liste électronique des opérations sur un compte bancaire ;
  • au fichier informatisé du personnel d'une entreprise ou des enfants qui sont inscrits dans une école ;
  • etc.

Mais la loi vie privée s'applique également dès qu'un seul traitement est effectué à l'aide d'un moyen automatisé. Par exemple :

  • le bureau d'intérim qui conserve le curriculum vitae des candidats en version papier mais qui les transmet par fax aux employeurs doit respecter les prescriptions de la loi vie privée pour toutes les opérations qu'il effectue avec les curriculum vitae (telles que la conservation, le classement ou l'envoi des C.V.).

Lorsqu'un traitement de données n'est pas effectué de manière automatisée (par exemple, sur papier ou sur microfiches), il faut quand même respecter la loi si ces données ont été ou seront enregistrées dans un fichier manuel qui peut être consulté selon des critères spécifiques (par exemple, un classement alphabétique en fonction du nom des personnes)

Traitement ultérieur

Un traitement ultérieur tel que visé par l'arrêté d'exécution du 13 février 2001 concerne des données à caractère personnel qui ont été collectées initialement pour une finalité déterminée et qui sont réutilisées ultérieurement à des fins historiques, statistiques ou scientifiques qui ne sont pas compatibles avec ces finalités initiales. Il s'agit en d'autres termes d'une forme spécifique de collecte secondaire.

Haut de page

V

Volet négatif

Partie du fichier des enregistrements régis, communément appelée "liste des mauvais payeurs" ou "liste négative", dans laquelle sont enregistrées des données relatives aux crédits non remboursés ou en retard de paiement.

Volet positif

Partie du fichier des enregistrements régis dans laquelle sont enregistrées des données concernant tous les crédits accordés.

Vulnérabilité (sécurité de l'information)

Une vulnérabilité est une faiblesse d'un bien ou d'un groupe de biens qui peut être exploitée par une ou plusieurs menaces (faute de conception, installation incorrecte). Dans beaucoup de cas, la vulnérabilité réside dans le défaut de protection du bien plutôt que dans le bien lui-même.
Une vulnérabilité en elle même ne cause aucun préjudice à l’organisation. C’est l'occurrence d'une menace, qui, profitant de la vulnérabilité et, le cas échéant, de circonstances particulières, occasionne un incident pouvant éventuellement engendrer des dommages.


 

Haut de page