impact significatif d’un incident [Règlement d’exécution Incident à impact significatif n°2018/151 du 30 janvier 2018] :

Un incident est considéré comme ayant un impact significatif si au moins l’une des situations suivantes s’est présentée:
a) le service fourni par un fournisseur de service numérique a été indisponible pendant plus de 5 000 000 heures utilisateur, une heure-utilisateur correspondant au nombre d’utilisateurs affectés dans l’Union pendant une durée de soixante minutes;
b) l’incident a entraîné une perte de l’intégrité, de l’authenticité ou de la confidentialité des données stockées, transmises ou transformées ou des services connexes offerts ou accessibles par l’intermédiaire d’un réseau et d’un système informatique du fournisseur de service numérique, qui a touché plus de 100 000 utilisateurs dans l’Union;
c) l’incident a engendré un risque pour la sécurité ou la sûreté publiques ou a entraîné un décès;
d) l’incident a causé un préjudice matériel à au moins un utilisateur dans l’Union dès lors que le préjudice causé à cet
utilisateur dépasse 1 000 000 EUR.

réutilisation [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] :

l’utilisation, par des personnes physiques ou morales, de données détenues par des organismes du secteur public, à des fins commerciales ou non commerciales autres que l’objectif initial de la mission de service public pour lequel les données ont été produites, à l’exception de l’échange de données entre des organismes du secteur public aux seules fins de l’exercice de leur mission de service public.

chiffrement [cité à l’article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

2.   Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3.   L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4.   Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre.

Objectif de sécurité [Guide de sélection d’algorithmes cryptographiques – ANSSI – 8 mars 2021] :

Objectif de prévention de menaces spécifiques et/ou de satisfaction d’une politique de sécurité. Par exemple, des objectifs de sécurité peuvent être la confidentialité des données, leur intégrité, etc.

communication de prospection directe [PROJET Règlement e-Privacy v1 du 10 janvier 2017] :

toute forme de publicité, tant écrite qu’orale, envoyée à un ou plusieurs utilisateurs finaux, identifiés ou identifiables, de services de communications électroniques, y compris au moyen de systèmes de communication et d’appel automatisés, avec ou sans intervention humaine, par courrier électronique, par SMS, etc.