Glossaire RGPD : Une ventilation pour les personnes occupées

Un principe clé du GDPR : Présentez vos politiques de données aux utilisateurs sans « jargon juridique ».

ALORS POURQUOI NOUS ONT-ILS DONNÉ 200 PAGES DE JARGON À LIRE POUR FAIRE FONDRE LE CERVEAU ?

Passer par le nouveau règlement général sur la protection des données est super important.

Mais c'est aussi amusant que de regarder un tournoi de golf joué au ralenti.

Voici donc une ventilation de la signification de tous ces termes juridiques - écrits en phrases, vous ne vous endormirez pas à mi-chemin.

N'hésitez pas à CTRL + F pour sortir d'un mal de tête.

Définitions

Règles d'entreprise contraignantes (BCR) : avez-vous des données personnelles dans l'UE ? Vous voulez le transférer aux personnes de votre organisation multinationale. hors UE ? Les BCR sont vos règles à suivre.

Données biométriques : "Données corporelles". Si cela peut vous identifier et concerne des traits physiques, physiologiques ou comportementaux, c'est ça.

CONSENTEMENT : C'est un grand. OBTENIR LE CONSENTEMENT POUR UTILISER LES DONNÉES PERSONNELLES DE QUELQU'UN EST COMPLIQUÉ MAINTENANT.

Ce sera:

• donné gratuitement
• spécifique
• affirmative
• explicite

Donc… si vous allez envoyer un e-mail à quelqu'un, vous devez avoir son consentement pour être envoyé par e-mail. Vous allez utiliser un cookie ? Vous avez également besoin d'un consentement spécifique pour cela.

Vous avez demandé le consentement des personnes de manière indépendante. Vous ne pouvez pas le regrouper avec la même case à cocher que votre politique de confidentialité.

Et vous ne pouvez pas pré-cocher la case "Je consens à ____". Ils doivent le faire eux-mêmes.

Vous ne pouvez pas écrire votre avis de non-responsabilité à l'ancienne "Ce site utilise des cookies, en étant ici, vous êtes d'accord avec ça" et vous attendre à ce qu'il vole.

Les gens ont compris comment vous utilisez leurs données. Ils doivent vous donner le OK pour l'utiliser de cette façon.

C'est beaucoup.

Nous en avons écrit plus ici.

Données concernant la santé : à quoi cela ressemble (Dieu merci).

Contrôleur de données : Si vous êtes un spécialiste du marketing, c'est probablement vous. C'est toute personne qui demande, collecte et utilise des données personnelles, de quelque manière que ce soit. Si vous les traitez, si vous les stockez, si vous déterminez comment les données des personnes vont être utilisées, vous êtes un contrôleur de données. Félicitations!

Effacement des données : AKA : "Droit d'être oublié". Cela signifie simplement qu'une personne concernée (personne humaine) peut choisir de faire effacer toutes les données que vous avez sur elle. Ils disent le mot, et vous devez effacer leurs données, arrêter de les utiliser et arrêter de diffuser (grossièrement), de quelque manière que ce soit.

Portabilité des données : Si quelqu'un vient vous voir et vous dit "HEY, je veux une copie de toutes les données que vous avez sur moi", vous devez dire "bien sûr, c'est parti". Et vous devez leur transmettre une copie de ces données dans un format qu'ils peuvent facilement transmettre à quelqu'un d'autre. (Plus d'infos sur ça vit ici)

Processeur de données : Tout ce que vous (le responsable du traitement) utilisez pour collecter et traiter les données. Un grand nombre de vos outils marketing sont des processeurs de données (pensez, outils d'analyse, outils de test A/B, plugins, etc.).

Autorité de protection des données : Les gens effrayants qui vont s'assurer que vous respectez les règles. Il s'agit des autorités nationales chargées de protéger les données et la vie privée et de surveiller l'application du RGPD au sein de l'UE.

Délégué à la protection des données : Quelqu'un que vous devriez nommer pour gérer toute cette folie réglementaire si vous êtes une entreprise de plus de 250 personnes (mais pour être honnête, le GDPR ne peut pas vraiment se décider sur ce que ce nombre devrait être). Il s'agit d'un expert en confidentialité des données qui travaillera avec vous de manière indépendante et vous maintiendra en conformité avec le RGPD.

Sujet des données : Humain—qui a des données, que vous avez, voyez ou utilisez.

Actes délégués : Des « lois bonus » ludiques qui complètent celles existantes, afin d'apporter plus de clarté ou de critères. Attendez-vous à un tas d'entre eux de la part de pays indépendants de l'UE à l'avenir.

Dérogation : Exceptions aux lois !

Directive : C'est la loi qui fixe un « objectif » pour tous les pays de l'UE. Ensuite, chaque pays établit ses propres lois nationales pour atteindre cet objectif.

Données cryptées : Plus ou moins : vous protégez les données personnelles en les brouillant. Le chiffrement des données garantit que seules les personnes disposant d'un accès spécifié peuvent accéder ou lire les données que vous avez stockées. En ce qui concerne les mesures de sécurité, c'est une très bonne idée.

Entreprise : Tout ce qui est engagé dans une activité économique, quelle que soit sa « forme juridique ». Donc, les gens, les organisations, les associations vous l'appelez. Toute personne qui gagne ou gâche de l'argent.

Système de classement : le RGPD s'applique à deux endroits : dans les systèmes automatisés (stockage sur ordinateur et dans des bases de données) ou, pour les copies papier, dans les "systèmes de classement pertinents". Un système de classement est « pertinent » s'il peut être recherché ou accessible selon des critères spécifiques (nom, numéro d'identification, numéro de téléphone, etc.)

Donc, si vous videz toutes vos données RH dans des boîtes non marquées et non organisées, vous n'avez probablement pas à vous soucier de celles du RGPD. Vous devriez juste vous en soucier, car vous savez, toutes les autres raisons.

Données génétiques : Le site officiel de l'UE définit cela mais, allez. Vous savez ce qu'est la génétique.

Groupe d'entreprises : Il y a beaucoup de jurisprudence à parcourir pour comprendre ce qu'est une « entreprise », mais cela se résume plus ou moins à ceci : une entreprise, c'est quand une entreprise contrôle une autre entreprise. Et le contrôle, dans ce cas, signifie la capacité d'exercer une « influence décisive ».

Exemple : une société mère détient une participation majoritaire dans une filiale. On suppose qu'ils peuvent exercer un contrôle. C'est un engagement.

Et un groupe d'entreprises est un groupe de celles-ci.

Établissement principal : Cela a plus ou moins à voir avec l'endroit où la supervision est appliquée. C'est l'endroit au sein du syndicat où les décisions concernant le traitement des données sont prises. Cela signifie que si vous traitez vos données en Allemagne, même si vous êtes basé ailleurs, votre « établissement principal » est en Allemagne.

DONNÉES PERSONNELLES : UN AUTRE GRAND. Les données personnelles sont toutes les informations qui se rapportent à une personne et qui peuvent être utilisées pour l'identifier. Cela inclut les données qui peuvent les identifier indirectement ou les identifier lorsqu'elles sont combinées avec d'autres données entrantes.

Ceci est différent des PII (informations personnelles identifiables) . Et c'est une définition plus stricte que ce que nous avons vraiment vu auparavant.

Voici une ventilation complète :

Violation des données personnelles : un gros "oups". C'est à chaque fois que quelqu'un peut accidentellement ou illégalement accéder, détruire ou utiliser à mauvais escient les données personnelles que vous avez stockées. En vertu du GDPR, vous êtes tenu d'informer toutes vos personnes concernées de l'un d'entre eux dans les 72 heures.

Privacy by Design : Arrêtez de procrastiner. Lorsque vous créez un système qui traite des données (une interface, un site Web, n'importe quoi), vous devez penser à la protection des données AVANT même de commencer. Il doit être conçu en gardant à l'esprit les droits relatifs aux données. Ils ne devraient pas être une édition de dernière minute.

Évaluation de l'impact sur la vie privée : une chose que vous (avec votre délégué à la protection des données) devriez faire ! Fondamentalement, il s'agit simplement d'auditer les risques potentiels pour la confidentialité. Cela signifie examiner vos données personnelles, la manière dont elles sont traitées et ce que vous faites actuellement pour les protéger.

Traitement : TOUTE CHOSE que vous faites avec des données personnelles, manuellement ou automatiquement. La collectionner, l'enregistrer, l'utiliser. Les données personnelles clignotent sur votre écran et sont traitées.

Profilage : si vous automatisez des données personnelles et que vous les analysez pour prédire le comportement (spécifique) de quelqu'un, cela compte comme du profilage.

Pseudonymisation – Vous disposez de données personnelles. Vous la traitez d'une manière telle que vous ne pouvez plus l'attribuer à une personne concernée, du moins pas sans une autre information détenue séparément. L'exemple classique consiste à remplacer des données identifiables par une valeur réversible et cohérente, comme une chaîne de nombres aléatoires, qui peut ensuite être « déverrouillée » et réattribuée.

Ceci est différent des données réellement anonymisées : dans lesquelles l'information identifiable est totalement détruite.

Quelles techniques « comptent » comme pseudonymisation dans le cadre du GDPR n'ont pas encore été déterminées, et il y a beaucoup de zones grises quant au type de données qui compte comme « susceptible d'être identifié » ou « raisonnablement susceptible » d'être identifié.

Mais il existe des incitations RGPD fantaisistes pour pseudonymiser vos données personnelles. Vous pouvez les trouver au considérant 29.

Par exemple, lorsque vous collectez vos données personnelles standard et régulières, vous ne pouvez les utiliser que pour des raisons explicitement « acceptées » par la personne concernée. Mais avec la pseudonymisation, vous avez un peu plus de latitude sur la façon dont vous pouvez traiter les données, même si c'est à des fins différentes de celles pour lesquelles elles ont été collectées à l'origine.

Destinataire - Une personne à qui les données personnelles sont divulguées.

Réglementation - Loi, qui est contraignante et s'applique dans toute l'UE.

Représentant - Si les personnes qui surveillent la conformité au RGPD doivent faire appel à des contrôleurs de données (c'est-à-dire votre entreprise) pour répondre à leurs préoccupations, elles s'adressent à vos représentants. Les représentants doivent être dans le syndicat et explicitement désignés pour la tâche.

Droit à l'oubli : voir Effacement des données, ci-dessus.

Droit d'accès / Droit d'accès au sujet : Si vous disposez des données personnelles d'une personne, celle-ci peut en demander l'accès. Il faut pouvoir leur donner.

Autorité de surveillance : chaque État membre de l'UE désignera une autorité publique pour surveiller la conformité au RGPD. Il s'agit d'une autorité de contrôle (mais vous le connaissez peut-être également en tant que DPA ou autorité de protection des données).

Trilogues – Après que tout le monde a lu le premier projet de législation proposé, la Commission européenne, le Parlement européen et le Conseil de l'UE se réunissent de manière informelle pour négocier. Ces réunions sont appelées trilogues et sont organisées afin qu'un texte de compromis puisse être adopté rapidement.

Acronymes :

BCR : Binding Corporate Rules (voir ci-dessus)

CFR : La Charte des droits fondamentaux de l'Union européenne

CJUE : la Cour de justice de l'Union européenne.

DPA : Autorité de Protection des Données (Voir Autorité de Contrôle)

DPO : Délégué à la Protection des Données

CEDH : Convention européenne des droits de l'homme.

EDPB : Comité européen de la protection des données

DEPS : Contrôleur européen de la protection des données

EEE : Espace économique européen (les 28 États membres de l'UE, plus l'Islande, le Liechtenstein et la Norvège)

TFUE : Traité sur le fonctionnement de l'Union européenne.

WP29 : Groupe de travail Article 29. Il s'agissait d'un comité consultatif au niveau de l'UE, composé d'APD nationales. Mais l'EDPB l'a plus ou moins remplacé sous GDPR.