Terminologie relative aux règles de confidentialité
Ce document fournit des définitions des termes clés liés aux réglementations de confidentialité prises en charge par Adobe Experience Cloud.
A
Australia Privacy Act (Privacy Act) : Loi qui promeut et protège la vie privée des individus et réglemente la manière dont les agences gouvernementales et les organisations australiennes traitent les informations personnelles. La Loi sur la protection des renseignements personnels comprend des principes qui s'appliquent aux organisations du secteur privé. Par exemple, les individus ont le droit de comprendre pourquoi les informations personnelles sont collectées et comment elles seront utilisées, la possibilité d’accéder à leurs données, de les effacer et de corriger les informations personnelles.
B
Règles d’entreprise contraignantes (BCR) : ensemble de règles contraignantes mises en place pour permettre aux entreprises et organisations multinationales de transférer les données personnelles qu’elles contrôlent depuis l’UE vers leurs filiales situées en dehors de l’UE (mais au sein de l’organisation).
Données biométriques : toute donnée personnelle relative aux caractéristiques physiques, physiologiques ou comportementales d’un individu, qui permet son identification unique.
C
CCPA : le California Consumer Privacy Act (CCPA) donne aux résidents de Californie plus de contrôle sur les informations personnelles que les entreprises collectent à partir de ce moment-là. La loi prévoit plusieurs nouveaux droits pour les consommateurs, notamment le droit d'accès et les informations personnelles qui leur sont collectées, ainsi que le droit de se désinscrire de la vente de leurs informations personnelles à des tiers.
CPA : Colorado Privacy Act (CPA) donne aux clients du Colorado des informations supplémentaires sur ce que les contrôleurs de données personnels collectent, partagent et vendent, et comment ces données sont utilisées. Le CPA protège les données personnelles des résidents du Colorado lorsqu'ils agissent dans un contexte individuel ou familial. Ces règles détaillent les spécifications techniques d’un ou de plusieurs mécanismes universels d’exclusion. Ces mécanismes communiquent clairement l'affirmation d'un consommateur, son choix libre et sans ambiguïté de se désinscrire du traitement des données personnelles à des fins de publicité ciblée ou de vente de données personnelles.
CTDPA : Connecticut Data Privacy Act (CTDPA) accorde aux résidents du Connecticut certains droits sur leurs données personnelles et établit des responsabilités et des normes de protection de la vie privée pour les contrôleurs de données qui traitent leurs données personnelles. La CTDPA leur accorde les droits suivants : accéder, corriger, supprimer, obtenir une copie ou refuser la vente, traiter ou profiler leurs données personnelles. La CTDPA protège un résident du Connecticut agissant comme un individu ou dans un contexte familial.
Consentement : consentement libre, spécifique, éclairé et explicite d’une déclaration ou d’une action signifiant l’accord pour le traitement de leurs données personnelles.
D
Données relatives à la santé : toute donnée personnelle relative à la santé physique ou mentale d’un individu ou aux prestations de services de santé le concernant.
Contrôleur des données : entité qui détermine les finalités, les conditions et les moyens du traitement des données personnelles.
Effacement des données : il s’agit également du droit à l’oubli. Elle autorise le sujet des données à demander au contrôleur des données d’effacer ses données personnelles, de cesser la diffusion des données et de faire cesser éventuellement le traitement des données par des tiers.
Portabilité des données : obligation pour les contrôleurs de fournir au sujet des données une copie de ses données dans un format permettant une utilisation facile avec un autre contrôleur.
Responsable de traitement des données : entité qui traite les données pour le compte du contrôleur des données.
Autorité de protection des données : autorités nationales chargées de la protection des données et de la confidentialité ainsi que du contrôle et de l’application des réglementations de protection des données de l’Union européenne.
Administrateur de la protection des données : expert en matière de confidentialité des données qui travaille indépendamment pour s’assurer qu’une entité adhère aux politiques et procédures détaillées dans le RGPD.
Titulaire de données : personne physique dont les données personnelles sont traitées par un contrôleur ou une entité de traitement des données.
Delaware Personal Data Privacy Act : Delaware Personal Data Privacy Act accorde aux résidents du Delaware les droits d’accéder, de corriger, de supprimer et de se désinscrire des ventes de données personnelles et de la publicité ciblée. La loi s’applique aux entreprises qui traitent des données pour au moins 35 000 consommateurs ou qui tirent plus de 20 % des recettes des ventes de données affectant plus de 10 000 consommateurs. Appliquée par le ministère de la Justice, elle comprend des pratiques de protection des données obligatoires et une période de 60 jours pour traiter les violations.
Actes délégués : actes non législatifs promulgués pour compléter la législation existante et fournir des critères ou des précisions.
Dérogation : exception à une loi.
Directive : acte législatif qui définit un objectif que tous les pays de l’UE doivent atteindre par le biais de leurs propres lois nationales.
E
Données chiffrées : données personnelles protégées par des mesures technologiques pour s’assurer que les données ne sont accessibles/lisibles que par les personnes disposant d’un accès spécifié.
Entreprise : toute entité exerçant une activité économique, quelle que soit sa forme juridique, y compris les personnes, les partenariats, les associations, etc.
Consentement explicite : norme de consentement qui implique une indication spécifique, informée et sans ambiguïté des souhaits du sujet de données sous forme orale ou écrite. En d'autres termes, le sujet des données doit littéralement et explicitement dire "J'accepte" ou "Je suis d'accord" pour que le consentement soit considéré comme explicite. En outre, il doit être aussi facile de retirer le consentement que de le donner.
F
Système de filtrage : tout ensemble spécifique de données personnelles accessible selon des critères spécifiques ou pouvant être consulté.
DBR : le Florida Digital Bill of Rights (DBR) est une loi qui accorde aux résidents de Floride les droits d'accès, de correction, de suppression et de copie de leurs données personnelles. Elle exige la transparence des pratiques de données, autorise les désinscriptions pour la vente de données ou la publicité ciblée et interdit la surveillance non autorisée. Le département des affaires juridiques de Floride applique ces droits, exigeant des contrôleurs de données qu’ils répondent aux demandes dans les 45 jours.
G
RGPD : General Data Protection Regulation (RGPD) est un cadre juridique qui définit des lignes directrices pour la collecte et le traitement des informations personnelles des individus au sein de l’Espace économique européen (EEE). Le RGPD énonce les principes de la gestion des données et les droits des individus, tout en prévoyant des amendes susceptibles d’être calculées sur la base des recettes. Le RGPD couvre toutes les entreprises qui traitent les données des citoyens de l’EEE. Il s’agit donc d’une réglementation essentielle pour les agents de conformité des entreprises dans les banques, les assurances et d’autres sociétés financières.
Données génétiques : données concernant les caractéristiques héritées ou acquises d’un individu, qui donnent des informations uniques sur sa santé ou sa physiologie.
Groupe d’entreprises : une entreprise qui exerce le contrôle et ses entreprises contrôlées.
H
I
Services Identity Management (IMS) : mise en oeuvre Adobe de Federated ID et OAuth 2.0 pour l’authentification des utilisateurs Adobe ID et l’autorisation des ressources d’Adobe. Intégrez IMS à votre application ou service Adobe pour permettre à vos utilisateurs de se connecter et d’accéder aux services Adobe. Les utilisateurs peuvent se connecter directement avec Renga (le fournisseur de services d’identité d’Adobe) ou se connecter via un domaine d’authentification tiers approuvé (tel que Google, Facebook ou un LDAP d’entreprise/organisation).
Consentement implicite : également appelé consentement univoque. Le consentement implicite fait référence à un consentement qui n’a pas été explicitement donné par le sujet des données, mais qui n’en est pas moins clair par sa nature. Par exemple, lors du processus d’inscription à un site web d’entreprise, un avis est donné qu’en fournissant une adresse électronique, le sujet des données accepte de recevoir des emails sur des offres spéciales. Si le sujet des données lit l'avis, la discrimination positive consistant à entrer dans son email est suffisante pour être considérée comme un consentement implicite.
Identifiant de l’organisation IMS : fait référence à un jeton d’autorisation d’Adobe pour l’authentification service à service, qui ne nécessite pas d’identification d’utilisateur. Il est attribué à un client IMS et n’a aucun utilisateur associé. Un client IMS a besoin d’un jeton de service pour autoriser les demandes rétroactives entre les services. (Le terme "jeton système" est parfois utilisé pour désigner un jeton de service.)
Iowa Consumer Data Protection Act : Une loi sur la protection de la vie privée de l'État qui accorde aux résidents de l'Iowa le droit d'accéder à leurs données personnelles, de les supprimer et de les exclure de la vente. Le CIDPA s’applique aux entreprises qui traitent des données pour plus de 100 000 résidents de l’Iowa ou qui tirent plus de 50 % des recettes des ventes de données. Les ONG et les établissements d'enseignement sont des exemptions notables. La loi prévoit une période de traitement de 90 jours pour les entreprises afin de corriger les infractions avant l'imposition de sanctions.
J
K
L
LGPD : Lei Geral de Proteção de Dados (LGPD) vise à réglementer le traitement des données personnelles de tous les individus ou personnes physiques au Brésil. La LGPD donne aux citoyens brésiliens le droit d'accéder à leurs données personnelles et de les supprimer, de savoir si leurs données personnelles sont vendues ou divulguées (et à qui), et le droit de refuser que leurs données soient vendues à des tiers.
M
Siège principal : lieu au sein de l’Union où les principales décisions concernant le traitement des données sont prises, à l’égard de l’entité de traitement des données.
MHMDAa : Washington My Health My Data Act améliore les droits de confidentialité pour les consommateurs concernant leurs données d’intégrité. Elle exige la divulgation, le consentement des consommateurs et les droits de suppression des données de santé, et interdit la vente de données de santé sans autorisation. En outre, la loi interdit l'utilisation de la géoclôture autour des établissements de santé.
Montana Consumer Data Privacy Act : Cette loi donne aux résidents du Montana les droits d'accéder, de corriger, de supprimer et de demander des copies de leurs données personnelles. La MCDPA s’applique aux entreprises qui traitent des données pour plus de 50 000 consommateurs du Montana et met l’accent sur la protection des données personnelles sensibles, telles que les données biométriques et génétiques. Elle applique la transparence autour de la collecte, du partage et des pratiques de vente des données.
N
Nebraska Data Protection Act : Une loi sur la protection de la vie privée qui accorde aux Nébraskiens le droit d’accéder, de corriger, de supprimer et de se désabonner de la vente de leurs données personnelles. Elle s’applique aux entreprises qui respectent des seuils de recettes et de traitement des données spécifiques. La loi sur la protection des données exige également que les entreprises mettent en oeuvre des mesures de sécurité des données raisonnables et prévoit une période de traitement de 30 jours pour résoudre les violations avant l’application des sanctions.
New Hampshire Privacy Act : Ce règlement protège les données personnelles des résidents du New Hampshire en leur accordant des droits d’accès, de suppression et de transfert de leurs données. Il oblige les entreprises à divulguer leurs pratiques de collecte et de partage de données et permet aux consommateurs de se désinscrire de la vente des données. La LNH s'applique aux entreprises qui respectent des seuils de traitement des données spécifiés.
New Jersey Data Protection Act : loi de confidentialité étatique complète qui accorde aux résidents du New Jersey les droits d’accès, de correction et de suppression des données personnelles. Il comprend des mécanismes d’exclusion pour la vente de données et la publicité ciblée. La NJDPA s’applique aux entreprises qui traitent de grands volumes de données sur les consommateurs et nécessite une transparence dans la manière dont les entreprises traitent les informations personnelles.
O
OCPA : la législation de l’Oregon Consumer Privacy Act (OCPA) accorde aux résidents de l’Oregon des droits clés sur leurs données personnelles, y compris les droits de connaître, corriger, supprimer et obtenir une copie de leurs données. Elle impose des obligations strictes aux entreprises, les obligeant à fournir des avis détaillés de confidentialité, à obtenir le consentement pour certaines utilisations des données et à mettre en oeuvre une protection accrue des informations sensibles. La législation vise à équilibrer la vie privée des consommateurs avec les intérêts commerciaux.
P
PDPA : le Personal Data Protection Act de Thaïlande (PDPA) a été introduit pour protéger les propriétaires de données thaïlandais de la collecte, de l’utilisation ou de la divulgation illégale de leurs données personnelles. Inspirée par le RGPD de l'Union européenne, la réglementation accorde aux citoyens thaïlandais le droit de demander l'accès à leurs données personnelles stockées ou de les supprimer.
Données personnelles : toute information relative à une personne physique ou à un "sujet des données", qui peut être utilisée pour identifier directement ou indirectement la personne.
Violation des données personnelles : violation de la sécurité entraînant l’accès accidentel ou illégal, la destruction, l’abus, etc. de données personnelles.
Confidentialité par conception : principe qui exige l’inclusion de la protection des données dès le début de la conception des systèmes, plutôt qu’en tant qu’ajout.
Évaluation de l’impact sur la vie privée : outil utilisé pour identifier et réduire les risques d’atteinte à la vie privée des entités en analysant les données personnelles traitées et les politiques mises en place pour protéger les données.
Traitement : toute opération effectuée sur des données personnelles, que ce soit par des moyens automatisés, y compris la collecte, l’utilisation, l’enregistrement, etc.
Profilage : tout traitement automatisé de données personnelles destiné à évaluer, analyser ou prédire le comportement d’un sujet des données.
Pseudonymization : traitement des données personnelles de sorte qu’elles ne puissent plus être attribuées à un seul sujet de données sans l’utilisation de données supplémentaires, à condition que ces données supplémentaires restent séparées pour garantir la non-attribution.
Q
Quebec Law 25 : Quebec Law 25 améliore les droits à la confidentialité pour les résidents, en imposant un consentement explicite, une réduction des données et des droits d’accès, de correction, de suppression et de transfert des données personnelles. Les organisations doivent nommer un agent de la protection des renseignements personnels, effectuer des évaluations d'impact sur la vie privée et signaler les violations. Les délais de conformité et les sanctions significatives s'appliquent en cas de violation.
R
Destinataire : entité à laquelle les données personnelles sont divulguées.
Règlement : acte législatif contraignant qui doit être appliqué dans son intégralité au sein de l’Union.
Représentant : toute personne dans l’Union explicitement désignée par le contrôleur pour être contactée par les autorités de contrôle.
Droit à l’oubli : également appelé effacement de données. Elle autorise le sujet des données à demander au contrôleur des données d’effacer ses données personnelles, de cesser la diffusion des données et de faire cesser éventuellement le traitement des données par des tiers.
Droit d’accès : également appelé Droit d’accès du sujet, il autorise le sujet des données à avoir accès aux données personnelles et aux informations les concernant détenues par un contrôleur.
S
Données sensibles : les données sensibles sont des données personnelles qui peuvent affecter le sujet des données. Plus précisément, il se rapporte aux données d'origine raciale ou ethnique, aux opinions politiques, aux religions ou aux croyances philosophiques, au comportement sexuel, aux casiers judiciaires, aux données de santé, aux handicaps, aux informations syndicales, aux données génétiques, aux données biométriques.
Droit d’accès du sujet : également appelé droit d’accès, il autorise le sujet des données à avoir accès aux données personnelles et aux informations les concernant détenues par un contrôleur.
Autorité de surveillance : autorité publique qui est établie par un État membre conformément à l’article 46.
T
TDPSA : la loi TDPSA (Texas Data Privacy and Security Act) est une législation complète qui protège les droits sur les données personnelles des résidents du Texas. Il accorde aux individus le droit d’accéder, de corriger, de supprimer et d’obtenir des copies de leurs données et de se désinscrire des ventes de données et de la publicité ciblée. Les entreprises qui enfreignent cette législation peuvent faire l'objet de sanctions financières.
Trilogues : les trilogues sont des négociations informelles entre la Commission européenne, le Parlement européen et le Conseil de l'Union européenne. Ces négociations ont généralement lieu à la suite des premières lectures de la législation proposée afin de convenir plus rapidement d'un texte de compromis à adopter.
s'entendre plus rapidement sur l'adoption d'un compromis.
U
UCPA : Utah Consumer Privacy Act crée le droit pour un consommateur de savoir quelles données personnelles une entreprise collecte, comment l'entreprise utilise ses données personnelles et si l'entreprise vend ses données personnelles. Les consommateurs peuvent demander à l’entreprise de supprimer ou d’arrêter la vente de leurs données personnelles.
Consentement non ambigu : le consentement non ambigu est également connu sous le nom de consentement implicite. Le consentement sans ambiguïté fait référence au consentement qui n’a pas été donné explicitement par le sujet des données, mais qui n’en présente pas moins un caractère ambigu. Par exemple, lors du processus d’inscription à un site web d’entreprise, un avis est donné qu’en fournissant une adresse électronique, le sujet des données accepte de recevoir des emails sur des offres spéciales. Si le sujet des données lit l'avis, la discrimination positive consistant à entrer dans son email est suffisante pour être considérée comme un consentement univoque.