intégrité [cité dans Règlement RGPD] sécurité du traitement

intégrité [cité à l’article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a)

la pseudonymisation et le chiffrement des données à caractère personnel;

b)

des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c)

des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d)

une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2.   Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3.   L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4.   Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.

Partagez sur

Il est difficile, pour les juristes comme pour les professionnel(le)s du numérique et de la sécurité des systèmes d’information de s’y retrouver dans le maquis des définitions légales, en vigueur ou à venir. Le dictionnaire LEGAL que nous vous proposons inclut les définitions des projets de Règlement et de Directive UE (très nombreuses mais pas toujours pertinentes…) et certaines définitions propres au droit français. Lorsque nos lois sont muettes, nous vous proposerons des définitions issues de notre pratique contractuelle.

Tapez un mot clé, un numéro de Directive/Règlement UE ou cherchez par ordre alphabétique : vous devriez trouver une définition légale.

Et à partir d’une définition, cliquez sur le lien qui vous est proposé pour accéder au texte légal qui vous intéresse.

A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
Generic selectors
Exact matches only
Cherchez dans le titre
Cherchez dans le contenu
Post Type Selectors

horodatage [ANSSI Référentiel « RGS » du 13 juin 2014 (Référentiel Général de Sécurité)] :

l’horodatage permet d’attester qu’une donnée existe à un instant donné. Pour cela, il convient d’associer une représentation sans équivoque d’une donnée, par exemple une valeur de hachage associée à un identifiant d’algorithme de hachage, à un instant dans le temps. La garantie de cette association est fournie au moyen d’une contremarque de temps qui est une structure signée qui contient en particulier :
–  l’identifiant de la politique d’horodatage sous laquelle la contremarque de temps a été générée ;
– la valeur de hachage et l’algorithme de hachage de la donnée qui a été horodatée ;
– la date et le temps UTC ;
– l’identifiant du certificat de l’Unité d’horodatage (UH) qui a généré la contremarque de temps (qui contient aussi le nom de l’Autorité d’horodatage).

Partagez sur

Chiffrement non authentifié [Guide de sélection d’algorithmes cryptographiques – ANSSI – 8 mars 2021] :

Un mécanisme de chiffrement symétrique permet, à l’aide d’une clé secrète K, de transformer un message clair M en un message chiffré C. L’accès à C (par exemple sur un canal de communication public) sans connaissance de K n’apporte pas d’information sur M. La même clé K permet de déchiffrer C pour retrouver M. Les bons procédés de chiffrement symétrique sont probabilistes, c’est-à-dire qu’ils utilisent en plus de la clé K une valeur aléatoire, ou bien à état persistant, ce qui permet de garantir à chaque chiffrement l’utilisation d’une valeur auxiliaire n’ayant jamais été utilisée précédemment conjointement avec la clé K. Dans les deux cas, cela permet d’introduire de la variabilité dans le chiffré C, de telle sorte qu’un même message M ne soit pas chiffré toujours en le même message C. Ainsi, il n’est pas possible, par exemple, de comparer des chiffrés entre eux pour déterminer si les messages clairs correspondants sont égaux.

Partagez sur

traitement [Règlement RGPD n°2016/679 du 27 avril 2016] :

toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Partagez sur

exploitation d’une plateforme de négociation de crypto-actifs [PROJET de Règlement MICA du 24 septembre 2020 (Markets In Crypto-Assets)] :

la gestion d’une ou de plusieurs plates-formes de négociation de crypto-actifs, au sein desquelles de multiples intérêts acheteurs et vendeurs exprimés par des tiers pour des crypto-actifs peuvent interagir d’une manière qui aboutisse à un contrat, soit par l’échange d’un crypto-actif contre un autre crypto-actif, soit par l’échange d’un crypto-actif contre de la monnaie fiat ayant cours légal.

Partagez sur

ressources associées [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] :

les services associés, infrastructures physiques et autres ressources ou éléments associés à un réseau de communications électroniques et/ou à un service de communications électroniques, qui permettent et/ou soutiennent la fourniture de services via ce réseau et/ou ce service ou en ont le potentiel, et comprennent, entre autres, les bâtiments ou accès aux bâtiments, le câblage des bâtiments, les antennes, tours et autres constructions de soutènement, les gaines, conduites, pylônes, trous de visite et boîtiers.

Partagez sur