Terminologie des réglementations de confidentialité
Ce document fournit des définitions pour les termes clés liés aux réglementations de confidentialité prises en charge par Adobe Experience Cloud.
A
Australia Privacy Act (Privacy Act) : Une loi qui promeut et protège la vie privée des individus et réglemente la façon dont les agences et organisations du gouvernement australien traitent les informations personnelles. La Loi sur la protection des renseignements personnels comprend des principes qui s'appliquent aux organisations du secteur privé. Par exemple, les particuliers ont le droit de comprendre pourquoi les renseignements personnels sont recueillis et comment ils seront utilisés, la possibilité d'y accéder, d'effacer leurs données et de corriger les renseignements personnels.
B
Règles d’entreprise contraignantes (RBC) : ensemble de règles contraignantes mises en place pour permettre aux entreprises et organisations multinationales de transférer les données personnelles qu’elles contrôlent de l’UE à leurs filiales situées en dehors de l’UE (mais au sein de l’organisation).
Données biométriques : toute donnée personnelle relative aux caractéristiques physiques, physiologiques ou comportementales d’un individu, qui permet son identification unique.
C
CCPA : Le California Consumer Privacy Act (CCPA) permet aux Californiens de mieux contrôler les informations personnelles que les entreprises collectent à leur sujet. La loi prévoit plusieurs nouveaux droits pour les consommateurs, y compris le droit d'accès et les informations personnelles collectées auprès d'eux, et le droit de refuser la vente de leurs informations personnelles à des tiers.
CPA : la Colorado Privacy Act (CPA) fournit aux consommateurs du Colorado des informations supplémentaires sur insight concernant les données personnelles collectées, partagées et vendues par les contrôleurs de données, ainsi que la manière dont ces données sont utilisées. La CPA protège les données personnelles des résidents du Colorado lorsqu’ils agissent dans un contexte individuel ou familial. Ces règles détaillent les spécifications techniques d’un ou de plusieurs mécanismes de désinscription universels. Ces mécanismes indiquent clairement le choix du consommateur, affirmatif, librement consenti et sans ambiguïté, de s'exclure du traitement des données personnelles à des fins de publicité ciblée ou de vente de données personnelles.
CTDPA : Le Connecticut Data Privacy Act (CTDPA) accorde aux résidents du Connecticut certains droits sur leurs données personnelles et établit les responsabilités et les normes de protection de la vie privée pour les contrôleurs de données qui traitent leurs données personnelles. Le CTDPA leur accorde les droits suivants : accéder, corriger, supprimer, obtenir une copie ou refuser la vente, traiter ou profiler leurs données personnelles. Le CTDPA protège un résident du Connecticut agissant en tant que personne ou dans un contexte familial.
Consentement : Consentement libre, spécifique, informé et explicite par déclaration ou action signifiant l'accord au traitement de leurs données personnelles.
D
Données relatives à la santé : toute donnée à caractère personnel relative à la santé physique ou mentale d’une personne ou à la prestation de services de santé à cette personne.
Responsable du traitement : l’entité qui détermine les finalités, les conditions et les moyens du traitement des données personnelles.
Effacement des données : C'est aussi connu sous le nom de Droit à l'oubli. Elle autorise la personne concernée à demander au contrôleur de données d’effacer ses données personnelles, de cesser la diffusion des données et de faire cesser éventuellement le traitement des données par des tiers.
Portabilité des données : obligation pour les contrôleurs de fournir à la personne concernée une copie de ses données dans un format permettant une utilisation facile avec un autre contrôleur.
Processeur de données : entité qui traite les données pour le compte du contrôleur de données.
Autorité de protection des données : autorités nationales chargées de la protection des données et de la vie privée, ainsi que du suivi et de l’application des règlements relatifs à la protection des données au sein de l’Union.
Responsable de la protection des données : expert en matière de confidentialité des données, qui travaille en toute indépendance pour s’assurer qu’une entité respecte les politiques et procédures détaillées dans le RGPD.
Personne concernée : personne physique dont les données personnelles sont traitées par un responsable du traitement ou un sous-traitant.
Delaware Personal Data Privacy Act : le Delaware Personal Data Privacy Act donne aux résidents du Delaware les droits d’accès, de correction, de suppression et de désinscription des ventes de données personnelles et de la publicité ciblée. La Loi s'applique aux entreprises qui traitent des données pour au moins 35 000 consommateurs ou qui tirent plus de 20 % des revenus de la vente de données ayant une incidence sur plus de 10 000 consommateurs. Appliquée par le ministère de la Justice, elle prévoit des pratiques obligatoires de protection des données et une période de 60 jours pour traiter les violations.
Actes délégués : actes non législatifs adoptés pour compléter la législation existante et fournir des critères de clarté.
Dérogation : exemption d'une loi.
directive : acte législatif qui définit un objectif que tous les pays de l'UE doivent atteindre au moyen de leurs propres lois nationales.
E
Données chiffrées : Données personnelles protégées par des mesures technologiques visant à garantir que les données ne sont accessibles/lisibles que par des personnes ayant un accès spécifié.
Entreprise : toute entité exerçant une activité économique, quelle que soit sa forme juridique, y compris les personnes, sociétés de personnes, associations, etc.
Consentement explicite : une norme de consentement qui implique une indication spécifique, informée et sans ambiguïté des souhaits de la personne concernée, sous forme orale ou écrite. En termes simples, la personne concernée doit littéralement et explicitement dire « Je consens » ou « J’accepte » pour que le consentement soit considéré comme explicite. En outre, il doit être aussi facile de retirer le consentement que de le donner.
F
Système de dépôt : Tout ensemble spécifique de données à caractère personnel accessible selon des critères spécifiques ou pouvant faire l’objet de requêtes.
FDBR : Le Florida Digital Bill of Rights (FDBR) est une législation qui fournit aux résidents de Floride les droits d'accès, de correction, de suppression et de copie de leurs données personnelles. Elle impose la transparence des pratiques en matière de données, autorise les désinscriptions à la vente de données ou à la publicité ciblée et interdit la surveillance non autorisée. Le Département des affaires juridiques de Floride applique ces droits, exigeant des contrôleurs de données qu’ils répondent aux demandes dans un délai de 45 jours.
G
RGPD : le General Data Protection Regulation (RGPD) est un cadre juridique qui définit des directives pour la collecte et le traitement des informations personnelles des personnes au sein de l’Espace économique européen (EEE). Le RGPD définit les principes de gestion des données et les droits de l’individu, tout en imposant des amendes qui peuvent être basées sur les recettes. Le RGPD couvre toutes les entreprises qui traitent les données des citoyens de l’EEE. Il s’agit donc d’une réglementation essentielle pour les responsables de la conformité des entreprises au sein des banques, des assureurs et d’autres sociétés financières.
Données génétiques : Données relatives aux caractéristiques d'un individu qui sont héritées ou acquises et qui donnent des informations uniques sur la santé ou la physiologie de l'individu.
Groupe d'entreprises : une entreprise exerçant le contrôle et ses entreprises contrôlées.
H
I
Identity Management Services (IMS) : mise en œuvre de Federated ID et d’OAuth 2.0 par Adobe pour l’authentification des utilisateurs Adobe ID et l’autorisation des ressources Adobe. Intégrez IMS à votre application ou service Adobe pour permettre à vos utilisateurs de se connecter et d'accéder aux services Adobe. Les utilisateurs peuvent se connecter directement avec Renga (le fournisseur de services d’identité Adobe) ou par le biais d’un domaine d’authentification tiers de confiance (tel que Google, Facebook ou un LDAP d’entreprise/d’organisation).
Consentement implicite : également appelé consentement sans ambiguïté. Le consentement implicite fait référence à un consentement qui n’a pas été donné explicitement par la personne concernée, mais qui est néanmoins sans ambiguïté par nature. Par exemple, lors du processus d’inscription à un site web d’entreprise, une notification est envoyée indiquant qu’en fournissant une adresse e-mail, la personne concernée consent à recevoir des e-mails sur des offres spéciales. Si la personne concernée lit la notification, l'action positive consistant à saisir son adresse e-mail suffit à considérer qu'il s'agit d'un consentement implicite.
ID d’organisation IMS : fait référence à un jeton d’autorisation Adobe pour l’authentification service à service, qui ne nécessite pas de connexion utilisateur. Il est émis vers un client IMS et n’a aucun utilisateur associé. Un client IMS a besoin d’un jeton de service pour autoriser les requêtes back-channel entre les services. (Le terme « jeton système » est parfois utilisé pour désigner un jeton de service.)
Iowa Consumer Data Protection Act : Une loi sur la confidentialité qui accorde aux résidents de l'Iowa le droit d'accéder, de supprimer et de refuser la vente de leurs données personnelles. L’ICDPA s’applique aux entreprises qui traitent des données pour plus de 100 000 résidents de l’Iowa ou qui tirent plus de 50 % de leur chiffre d’affaires des ventes de données. Les exemptions notables comprennent les organisations à but non lucratif et les établissements d'enseignement. La loi prévoit une période de traitement de 90 jours pour permettre aux entreprises de corriger les infractions avant l'imposition de sanctions.
J
K
L
LGPD : La Lei Geral de Proteção de Dados (LGPD) vise à réglementer le traitement des données personnelles de toutes les personnes physiques ou physiques au Brésil. Le LGPD donne aux citoyens brésiliens le droit d'accéder à leurs données personnelles et de les supprimer, de savoir si leurs données personnelles sont vendues ou divulguées (et à qui), et le droit de refuser que leurs données soient vendues à des tiers.
M
Établissement principal : l’endroit au sein de l’Union où sont prises les principales décisions concernant le traitement des données ; en ce qui concerne le sous-traitant.
MHMDAa : la Washington My Health My Data Act renforce les droits à la confidentialité des consommateurs concernant leurs données de santé. Elle impose la divulgation, le consentement des consommateurs et les droits de suppression des données de santé, et interdit la vente de données de santé sans autorisation. En outre, la loi interdit l’utilisation de clôtures géologiques autour des établissements de santé.
Minnesota Consumer Data Privacy Act (MCDPA) : À compter du 31 juillet 2025, le MCDPA donne aux résidents du Minnesota des droits d’accès, de correction, de suppression et d’obtention de leurs données personnelles, ainsi que de refus de vente de données, de publicité ciblée et de certains profils. Elle s’applique aux entreprises opérant dans le Minnesota ou ciblant cet État et traitant des données de plus de 100 000 consommateurs par an (à l’exclusion des données de paiement uniquement), ou de plus de 25 000 consommateurs si plus de 25 % des revenus proviennent des ventes de données. Les entités couvertes doivent mettre en œuvre des mesures raisonnables de sécurité des données et mener des évaluations des risques. Le procureur général du Minnesota applique la loi et peut infliger des amendes allant jusqu’à 7 500 dollars par infraction. Toutefois, les entreprises ont jusqu'au 31 janvier 2026 pour corriger les infractions avant l'application des sanctions.
MODPA : le Maryland Online Data Privacy Act accorde aux résidents des droits comprenant l’accès, la correction, la suppression et la portabilité des données. Les résidents peuvent se désinscrire du traitement des données pour la publicité ciblée, les ventes de données personnelles et le profilage. La Loi interdit le géorepérage autour des établissements de santé mentale ou de santé reproductive. La loi s’applique aux entités qui traitent des données provenant de plus de 35 000 consommateurs, ou à celles qui traitent des données provenant de plus de 10 000 consommateurs et tirent plus de 20 % de leurs revenus de la vente de ces données. L'application de la loi est gérée par le Procureur général du Maryland, avec des amendes et des pénalités applicables en cas d'infraction.
Montana Consumer Data Privacy Act : Cette loi donne aux résidents du Montana le droit d'accéder, de corriger, de supprimer et de demander des copies de leurs données personnelles. La Loi s'applique aux entreprises qui traitent des données pour plus de 50 000 consommateurs du Montana et met l'accent sur la protection des données personnelles sensibles, comme les renseignements biométriques et génétiques. Elle assure la transparence de la collecte, du partage et des pratiques de vente des données.
N
Nebraska Data Protection Act : Une loi sur la confidentialité qui donne aux Nébraskois le droit d'accéder, de corriger, de supprimer et de refuser la vente de leurs données personnelles. Elle s’applique aux entreprises qui atteignent des seuils spécifiques de traitement des données et de chiffre d’affaires. La NDPA exige également que les entreprises mettent en œuvre des mesures de sécurité des données raisonnables et offre une période de traitement de 30 jours pour résoudre les violations avant l'application des sanctions.
New Hampshire Privacy Act : Ce règlement protège les données personnelles des résidents du New Hampshire en leur accordant des droits d'accès, de suppression et de transfert de leurs données. Elle oblige les entreprises à divulguer leurs pratiques de collecte et de partage de données et permet aux consommateurs de se désabonner de la vente de données. La LNPD s'applique aux entreprises qui atteignent des seuils de traitement des données spécifiés.
New Jersey Data Protection Act : Une loi complète sur la confidentialité qui accorde aux habitants du New Jersey des droits d’accès, de correction et de suppression des données personnelles. Il comprend des mécanismes d'opt-out pour les ventes de données et la publicité ciblée. La LPJN s'applique aux entreprises qui traitent d'importants volumes de données des consommateurs et exige de la transparence dans la façon dont les entreprises traitent les renseignements personnels.
O
OCPA : La loi Oregon Consumer Privacy Act (OCPA) accorde aux résidents de l’Oregon des droits clés sur leurs données personnelles, notamment le droit de connaître, corriger, supprimer et obtenir une copie de leurs données. Elle impose des obligations strictes aux entreprises, les obligeant à fournir des avis de confidentialité détaillés, à obtenir le consentement pour certaines utilisations des données et à mettre en œuvre des protections renforcées pour les informations sensibles. La législation vise à établir un équilibre entre la vie privée des consommateurs et les intérêts commerciaux.
P
PDPA : Le Personal Data Protection Act de Thaïlande (PDPA) a été introduit pour protéger les propriétaires de données thaïlandais contre la collecte, l'utilisation ou la divulgation illégale de leurs données personnelles. Inspiré du RGPD de l'Union européenne, le règlement accorde aux citoyens thaïlandais le droit de demander l'accès à leurs données personnelles stockées ou leur suppression.
Données personnelles : toute information relative à une personne physique ou à un « titulaire de données », qui peut être utilisée pour identifier directement ou indirectement la personne.
Violation des données personnelles : violation de la sécurité entraînant l’accès accidentel ou illégal à des données personnelles, leur destruction, leur utilisation abusive, etc.
PIPA (Corée du Sud) : La Personal Information Protection Act réglemente le traitement et la protection des données personnelles des résidents sud-coréens. PIPA accorde aux résidents des droits, notamment le droit d'être informés, d'accéder, d'obtenir des copies et de demander la correction, la suppression ou la suspension du traitement. Les contrôleurs doivent préciser les objectifs de la collecte, traiter les données légalement dans la mesure minimale nécessaire et assurer l'exactitude des données. La Loi a également établi la Commission de protection des renseignements personnels pour l'application de la loi, qui peut imposer des amendes et des sanctions administratives en cas de non-conformité.
La protection de la vie privée dès la conception : un principe qui exige l'inclusion de la protection des données dès le début de la conception des systèmes, plutôt qu'un ajout.
Évaluation de l’impact sur la confidentialité : outil utilisé pour identifier et réduire les risques pour la confidentialité des entités en analysant les données personnelles traitées et les politiques en place pour protéger les données.
Traitement : toute opération effectuée sur des données personnelles, que ce soit par des moyens automatisés, y compris la collecte, l'utilisation, l'enregistrement, etc.
Profilage : tout traitement automatisé de données personnelles destiné à évaluer, analyser ou prédire le comportement du titulaire de données.
Pseudonymisation : Traitement de données personnelles de sorte qu'il ne puisse plus être attribué à une seule personne concernée sans l'utilisation de données supplémentaires, tant que ces données supplémentaires restent séparées pour assurer la non-attribution.
Q
Quebec Law 25 : Quebec Law 25 améliore les droits de confidentialité des résidents, en rendant obligatoire le consentement explicite, la minimisation des données et les droits d’accès, de correction, de suppression et de transfert des données personnelles. Les organisations doivent nommer un agent de protection de la vie privée, effectuer des évaluations des facteurs relatifs à la vie privée et signaler les atteintes. Des délais de conformité et des pénalités importantes s'appliquent en cas d'infraction.
R
Destinataire : Entité à laquelle les données personnelles sont divulguées.
règlement : acte législatif contraignant qui doit être appliqué dans son intégralité dans toute l'Union.
Représentant : toute personne dans l'Union explicitement désignée par le responsable du traitement à l'intention des autorités de contrôle.
Droit à l’oubli : On parle aussi d’effacement de données. Elle autorise la personne concernée à demander au contrôleur de données d’effacer ses données personnelles, de cesser la diffusion des données et de faire cesser éventuellement le traitement des données par des tiers.
Droit d’accès : également appelé droit d’accès du titulaire, il permet au titulaire de données d’accéder aux données personnelles le concernant et aux informations y relatives dont dispose un contrôleur.
S
Données sensibles : les données sensibles sont toutes les données personnelles pouvant affecter la personne concernée. Plus précisément, il s'agit de données d'origine raciale ou ethnique, d'opinions politiques, de religions ou de convictions philosophiques, de comportements sexuels, de casiers judiciaires, de données sanitaires, de handicap, d'informations syndicales, de données génétiques, de données biométriques.
Droit d’accès du titulaire : également appelé droit d’accès, il permet au titulaire de données d’avoir accès aux données personnelles dont dispose un contrôleur à son sujet et de disposer d’informations les concernant.
Autorité de surveillance : Autorité publique établie par un État membre conformément à l'article 46.
T
TDPSA : le Texas Data Privacy and Security Act (TDPSA) est une loi complète qui protège les droits des résidents du Texas en matière de données personnelles. Il accorde aux individus le droit d'accéder, de corriger, de supprimer et d'obtenir des copies de leurs données et de se désabonner de la vente de données et de la publicité ciblée. Les entreprises qui enfreignent cette loi s'exposent à des sanctions financières.
Tennessee Information Protection Act (TIPA) : À compter du 1er juillet 2025, TIPA donne aux résidents le droit d'accéder, de corriger, de supprimer et d'obtenir leurs données personnelles. Il leur permet également de se désabonner des ventes de données, de la publicité ciblée et du profilage utilisés pour prendre des décisions qui produisent des effets juridiques ou tout aussi importants. Elle s’applique aux entreprises dont les revenus annuels dépassent 25 millions de dollars et qui traitent des données de 175 000 consommateurs ou plus, ou de 25 000 si plus de la moitié des revenus provient de la vente de données personnelles. Les entreprises couvertes doivent adopter des mesures de sécurité raisonnables et mener des évaluations de la protection des données pour certaines activités de traitement à haut risque. Le procureur général du Tennessee applique la loi, avec des amendes allant jusqu’à 7 500 dollars par infraction. Les entreprises ont 60 jours pour corriger les infractions avant d'être passibles de sanctions, mais les infractions intentionnelles ou délibérées peuvent entraîner des dommages-intérêts triples.
Trilogues : Les trilogues sont des négociations informelles entre la Commission européenne, le Parlement européen et le Conseil de l’Union européenne. Ces négociations ont généralement lieu à l'issue des premières lectures de la législation proposée afin de convenir plus rapidement d'un texte de compromis à adopter.
convenir plus rapidement de l'adoption d'un texte de compromis.
U
UCPA : la Utah Consumer Privacy Act donne au consommateur le droit de savoir quelles données personnelles une entreprise collecte, comment l’entreprise utilise ses données personnelles et si l’entreprise vend ses données personnelles. Les consommateurs peuvent exiger que l'entreprise supprime ou cesse de vendre leurs données personnelles.
Consentement sans ambiguïté : le consentement sans ambiguïté est également appelé consentement implicite. Le consentement sans ambiguïté fait référence à un consentement qui n’a pas été donné explicitement par la personne concernée, mais qui est néanmoins sans ambiguïté par nature. Par exemple, lors du processus d’inscription à un site web d’entreprise, une notification est envoyée indiquant qu’en fournissant une adresse e-mail, la personne concernée consent à recevoir des e-mails sur des offres spéciales. Si la personne concernée lit la notification, l'action positive de la saisie de son e-mail suffit à être considérée comme un consentement sans ambiguïté.