Protection des données (RGPD)
RGPD
Le RGPD (règlement général sur la protection des données) est le règlement européen 2016/679 qui encadre le traitement des données personnelles dans l'Union européenne depuis le 25 mai 2018. Il s'applique à toute organisation, publique ou privée, qui traite des données personnelles, quelle que soit sa taille. Il repose sur des principes (licéité, minimisation, transparence) et sur la capacité à démontrer sa conformité. Approfondir →
Donnée personnelle
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Un nom, un email, une adresse IP, un identifiant client ou une plaque d'immatriculation sont des données personnelles. La notion est volontairement large : le croisement de données apparemment anodines peut suffire à identifier quelqu'un.
Traitement de données
Un traitement est toute opération appliquée à des données personnelles : collecte, enregistrement, consultation, modification, transmission, conservation ou suppression. La simple consultation d'un fichier constitue déjà un traitement. Chaque traitement doit avoir une finalité déterminée et une base légale.
Responsable de traitement
Le responsable de traitement est l'organisation qui détermine les finalités et les moyens d'un traitement de données personnelles. C'est sur lui que pèse l'essentiel des obligations du RGPD. Une organisation peut être responsable de certains traitements et sous-traitante pour d'autres.
Sous-traitant
Un sous-traitant est l'organisation qui traite des données personnelles pour le compte et sur instruction d'un responsable de traitement. Hébergeur, éditeur SaaS, agence web ou prestataire de paie sont typiquement sous-traitants. La relation doit être encadrée par un contrat conforme à l'article 28 du RGPD. Approfondir →
DPO (délégué à la protection des données)
Le DPO est la personne chargée de piloter la conformité au RGPD d'une organisation, de conseiller ses équipes et de coopérer avec la CNIL. Sa désignation est obligatoire pour les organismes publics et pour les organisations dont les activités de base impliquent un suivi à grande échelle ou des données sensibles à grande échelle. Il peut être interne, externe ou mutualisé. Approfondir →
Registre des traitements
Le registre des traitements est le document qui recense l'ensemble des traitements de données personnelles d'une organisation, conformément à l'article 30 du RGPD. Il documente pour chaque traitement la finalité, les données, les destinataires, les durées de conservation et les mesures de sécurité. C'est la colonne vertébrale de la conformité. Approfondir →
AIPD (analyse d'impact relative à la protection des données)
Une AIPD est une étude obligatoire avant la mise en œuvre d'un traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Elle décrit le traitement, évalue la nécessité et la proportionnalité, analyse les risques et définit les mesures pour les réduire. La CNIL publie une liste de traitements pour lesquels elle est exigée. Le terme anglais est DPIA. Approfondir →
Base légale
La base légale est le fondement juridique qui autorise un traitement de données personnelles parmi les six prévus par l'article 6 du RGPD. Consentement, contrat, obligation légale, sauvegarde des intérêts vitaux, mission d'intérêt public et intérêt légitime : chaque traitement doit s'appuyer sur une seule base, choisie avant sa mise en œuvre.
Consentement
Le consentement est une manifestation de volonté libre, spécifique, éclairée et univoque par laquelle une personne accepte un traitement de ses données. Il doit être aussi facile à retirer qu'à donner. Une case pré-cochée ou un consentement global à des finalités multiples ne sont pas valables.
Intérêt légitime
L'intérêt légitime est une base légale qui permet un traitement nécessaire aux intérêts d'une organisation, à condition que les droits des personnes ne prévalent pas. Son usage exige un test de mise en balance documenté. Il ne peut pas tout justifier : la prospection a ses limites et les organismes publics ne peuvent pas l'invoquer dans l'exercice de leurs missions.
Accountability (responsabilité)
L'accountability est le principe selon lequel une organisation doit être en mesure de démontrer à tout moment sa conformité au RGPD. Il ne suffit pas d'être conforme : il faut le prouver par la documentation (registre, procédures, AIPD, contrats). C'est le changement de logique majeur introduit par le RGPD. Approfondir →
Privacy by design
Le privacy by design (protection des données dès la conception) impose d'intégrer la protection des données dès la conception d'un produit, d'un service ou d'un traitement. Concrètement : minimiser les données collectées, limiter les accès, prévoir les durées de conservation et les paramétrages protecteurs par défaut, avant le lancement et non après.
Violation de données
Une violation de données est un incident de sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles. Elle doit être documentée en interne et, en cas de risque pour les personnes, notifiée à la CNIL dans les 72 heures. Si le risque est élevé, les personnes concernées doivent aussi être informées. Approfondir →
CNIL
La CNIL (Commission nationale de l'informatique et des libertés) est l'autorité française de protection des données personnelles. Elle conseille, contrôle et sanctionne. Ses référentiels et recommandations (durées de conservation, cookies, IA) constituent la doctrine de référence pour la mise en conformité en France.
DPA (contrat de sous-traitance)
Un DPA (data processing agreement) est le contrat exigé par l'article 28 du RGPD entre un responsable de traitement et son sous-traitant. Il précise l'objet, la durée, la nature du traitement, les obligations de sécurité, le sort des données et l'encadrement des sous-traitants ultérieurs. Sans DPA conforme, la relation de sous-traitance est irrégulière. Approfondir →
Transfert hors UE
Un transfert hors UE est toute communication de données personnelles vers un pays extérieur à l'Espace économique européen. Il n'est licite que vers un pays bénéficiant d'une décision d'adéquation ou moyennant des garanties appropriées, comme les clauses contractuelles types, complétées si nécessaire par des mesures supplémentaires.
Durée de conservation
La durée de conservation est la période pendant laquelle des données personnelles peuvent être conservées au regard de la finalité du traitement. Le RGPD ne fixe pas de durées chiffrées : elles se déterminent à partir des obligations légales, des prescriptions et des référentiels CNIL. Le cycle de vie distingue base active, archivage intermédiaire et sort final. Approfondir →
Droits des personnes
Les droits des personnes sont les prérogatives que le RGPD reconnaît à chacun sur ses données : accès, rectification, effacement, limitation, portabilité, opposition. L'organisation doit y répondre dans un délai d'un mois en principe. Une procédure interne de gestion des demandes est indispensable.
Cookie et traceur
Un cookie est un fichier déposé sur le terminal d'un internaute permettant de le reconnaître ; par extension, un traceur est toute technique de suivi (pixel, empreinte numérique). Les traceurs non essentiels exigent un consentement préalable. La CNIL encadre strictement leur usage, y compris les pixels de tracking dans les emails. Approfondir →
nLPD
La nLPD est la nouvelle loi fédérale suisse sur la protection des données, en vigueur depuis le 1er septembre 2023. Proche du RGPD dans ses principes, elle s'en distingue notamment par des sanctions pénales pouvant viser personnellement les responsables, jusqu'à 250 000 francs suisses. Les organisations actives entre la France et la Suisse cumulent souvent les deux référentiels. Approfondir →
Décision individuelle automatisée
Une décision individuelle automatisée est une décision produisant des effets juridiques ou significatifs sur une personne, prise sans intervention humaine. L'article 22 du RGPD l'interdit par principe, sauf exceptions strictes (contrat, consentement explicite, texte). Le sujet devient central avec le déploiement des systèmes d'IA. Approfondir →
Pseudonymisation
La pseudonymisation consiste à remplacer les identifiants directs d'une donnée par des identifiants indirects, l'identification restant possible avec des informations supplémentaires. Les données pseudonymisées restent des données personnelles soumises au RGPD, contrairement aux données anonymisées. C'est une mesure de sécurité, pas une sortie du champ du règlement.
Anonymisation
L'anonymisation est le processus qui rend impossible, de manière irréversible, toute identification d'une personne à partir d'un jeu de données. Une fois véritablement anonymisées, les données sortent du champ du RGPD. Le test est exigeant : individualisation, corrélation et inférence doivent être impossibles.
Intelligence artificielle (IA Act)
IA Act (RIA)
L'IA Act, ou règlement européen sur l'intelligence artificielle (règlement 2024/1689), est le premier cadre juridique complet au monde encadrant les systèmes d'IA selon une approche par les risques. Entré en vigueur le 1er août 2024, il s'applique par paliers : pratiques interdites en février 2025, modèles à usage général en août 2025, transparence en août 2026, systèmes à haut risque selon un calendrier en cours d'ajustement. RIA est son sigle français. Approfondir →
Système d'IA
Un système d'IA est un système automatisé qui, à partir des entrées qu'il reçoit, déduit comment générer des résultats (prédictions, contenus, recommandations, décisions) pouvant influencer des environnements physiques ou virtuels. La définition de l'IA Act est large et englobe l'apprentissage automatique comme les approches fondées sur la logique et les connaissances. Elle conditionne tout le champ d'application du règlement.
Fournisseur (IA Act)
Le fournisseur est l'acteur qui développe un système d'IA ou le fait développer et le met sur le marché sous son propre nom ou sa propre marque. C'est sur lui que pèsent les obligations les plus lourdes pour les systèmes à haut risque : documentation technique, gestion des risques, marquage CE, enregistrement. Approfondir →
Déployeur (IA Act)
Le déployeur est l'organisation qui utilise un système d'IA sous sa propre autorité dans le cadre de son activité professionnelle. La plupart des PME et des collectivités sont déployeuses. Leurs obligations portent sur l'usage : respect de la notice, supervision humaine, conservation des journaux, information des personnes. Approfondir →
Système IA à haut risque
Un système d'IA à haut risque est un système relevant des domaines de l'annexe III de l'IA Act (emploi, crédit, éducation, biométrie...) ou intégré comme composant de sécurité dans un produit réglementé. Cette qualification déclenche l'essentiel des obligations du règlement. Elle s'apprécie système par système, en tenant compte des exemptions de l'article 6. Approfondir →
Annexe III
L'annexe III est la liste des domaines dans lesquels un système d'IA est présumé à haut risque : biométrie, infrastructures critiques, éducation, emploi, services essentiels, répression, migration, justice. Pour les organisations privées, les cas les plus fréquents sont les outils de recrutement et de gestion RH ainsi que le scoring en matière de crédit et d'assurance. Approfondir →
Pratiques interdites (article 5)
Les pratiques interdites sont les usages de l'IA jugés incompatibles avec les valeurs européennes, prohibés depuis le 2 février 2025. Parmi elles : la notation sociale généralisée, la manipulation exploitant les vulnérabilités, certaines formes d'identification biométrique à distance en temps réel dans l'espace public. Approfondir →
GPAI (modèle d'IA à usage général)
Un GPAI est un modèle d'IA entraîné sur de larges volumes de données et capable d'exécuter un large éventail de tâches, comme les grands modèles de langage. Leurs fournisseurs sont soumis à des obligations propres depuis le 2 août 2025 : documentation, respect du droit d'auteur, résumé des données d'entraînement, avec des exigences renforcées pour les modèles à risque systémique.
Obligation de transparence (article 50)
L'obligation de transparence impose d'informer les personnes qu'elles interagissent avec une IA ou que des contenus ont été générés ou manipulés artificiellement. Applicable à partir du 2 août 2026, elle concerne notamment les chatbots, les contenus générés par IA et les hypertrucages. Elle s'articule avec les obligations d'information du RGPD. Approfondir →
Maîtrise de l'IA (article 4)
La maîtrise de l'IA est l'obligation pour toute organisation qui déploie des systèmes d'IA de garantir un niveau suffisant de compréhension de ces outils par son personnel. Applicable depuis le 2 février 2025, elle concerne toutes les organisations, y compris les PME et les collectivités. Formation et charte IA en sont les réponses naturelles. Approfondir →
FRIA (analyse d'impact sur les droits fondamentaux)
La FRIA est l'analyse d'impact sur les droits fondamentaux exigée par l'article 27 de l'IA Act avant le déploiement de certains systèmes à haut risque. Elle concerne notamment les organismes publics et les acteurs privés fournissant des services publics. Elle complète l'AIPD du RGPD sans s'y substituer.
Charte IA
Une charte IA est le document interne qui fixe les règles d'usage des outils d'intelligence artificielle dans une organisation : usages autorisés, données interdites, validation humaine, transparence. Co-construite avec les équipes, elle répond à l'obligation de maîtrise de l'IA et prévient le shadow AI. Elle peut être annexée au règlement intérieur pour devenir opposable. Approfondir →
Hypertrucage (deepfake)
Un hypertrucage est un contenu (image, son, vidéo) généré ou manipulé par IA qui présente faussement des personnes ou des faits comme authentiques. L'IA Act impose de signaler clairement ces contenus comme artificiels. Les hypertrucages non signalés exposent leur diffuseur à des sanctions.
Shadow AI
Le shadow AI désigne l'usage d'outils d'intelligence artificielle par les collaborateurs sans validation ni encadrement de leur organisation. Il expose à des fuites de données personnelles ou confidentielles vers des services grand public. La réponse efficace n'est pas l'interdiction générale mais l'encadrement : charte, outils validés, formation. Approfondir →
Digital Omnibus
Le Digital Omnibus est un paquet législatif européen de simplification qui ajuste plusieurs textes numériques, dont le calendrier de l'IA Act. L'accord politique du 7 mai 2026 prévoit le report des obligations applicables aux systèmes à haut risque de l'annexe III au 2 décembre 2027. Tant qu'il n'est pas publié au Journal officiel, les dates initiales restent juridiquement en vigueur. Approfondir →
Numérique responsable
Numérique responsable
Le numérique responsable est une démarche visant à réduire l'empreinte environnementale et sociale du numérique tout en préservant ses apports. Elle couvre les achats, les usages, la conception des services et la gouvernance. Pour les collectivités de plus de 50 000 habitants, la loi REEN en fait une obligation de stratégie. Approfondir →
ACV (analyse de cycle de vie)
L'ACV est la méthode normalisée (ISO 14040 et 14044) d'évaluation environnementale multicritère d'un produit ou d'un service, sur l'ensemble de son cycle de vie. Elle peut évaluer jusqu'à une vingtaine d'indicateurs (climat, ressources, eau, énergie primaire). C'est la seule méthode qui offre une vision d'ensemble et évite les transferts d'impact. Approfondir →
Bilan carbone du SI
Le bilan carbone du SI est la mesure monocritère des émissions de gaz à effet de serre du système d'information d'une organisation, exprimée en équivalent CO2. Fondé sur les facteurs d'émission de la Base Empreinte ADEME, il couvre tout le cycle de vie des équipements, fabrication incluse. Le résultat porte toutefois sur le seul indicateur climat. Approfondir →
Multicritère
Une évaluation multicritère mesure plusieurs indicateurs environnementaux en parallèle, là où une approche monocritère n'en mesure qu'un. Le multicritère est indispensable pour détecter les transferts d'impact : une option qui réduit le CO2 peut aggraver l'épuisement des métaux ou la consommation d'eau. Approfondir →
Transfert d'impact
Un transfert d'impact se produit quand une amélioration sur un indicateur environnemental se paie par une dégradation sur un autre. Exemple type : réduire les émissions de CO2 en renouvelant des équipements dont la fabrication épuise des ressources métalliques. Seule une analyse multicritère rend ces déplacements visibles. Approfondir →
RGESN
Le RGESN (référentiel général d'écoconception de services numériques) est le référentiel public français qui structure la démarche d'écoconception : stratégie, architecture, contenus, frontend, backend, hébergement. Il sert de cadre aux audits d'écoconception et à la déclaration d'écoconception d'un service numérique. Approfondir →
EcoIndex
L'EcoIndex est un indicateur qui estime l'empreinte environnementale d'une page web à partir de son poids, de sa complexité et du nombre de requêtes. Noté de A à G, il fournit une mesure simple et comparable pour piloter la sobriété d'un site. Il ne remplace pas une ACV mais oriente efficacement les optimisations.
Éco-conception
L'éco-conception consiste à intégrer la réduction des impacts environnementaux dès la conception d'un service numérique, plutôt qu'à corriger après coup. Un service éco-conçu est plus léger, plus rapide et plus accessible : la sobriété converge avec la performance et l'expérience utilisateur. Approfondir →
Label NR
Le Label Numérique Responsable est le label français qui atteste de l'engagement structuré d'une organisation dans une démarche de numérique responsable. Fondé sur un référentiel exigeant, il se prépare par un état des lieux, une trajectoire et des preuves. Il valorise la démarche auprès des clients, des agents et des partenaires. Approfondir →
Loi REEN
La loi REEN (réduction de l'empreinte environnementale du numérique) du 15 novembre 2021 impose notamment aux communes et intercommunalités de plus de 50 000 habitants d'adopter une stratégie numérique responsable. Elle promeut aussi l'allongement de la durée de vie des équipements, la sobriété des usages et l'écoconception des services publics numériques. Approfondir →
Base Empreinte ADEME
La Base Empreinte est la base de données publique de l'ADEME qui fournit les facteurs d'émission et d'impact environnemental de référence, notamment pour les équipements numériques. Ses facteurs couvrent l'ensemble du cycle de vie et alimentent les bilans carbone comme les analyses de cycle de vie. Approfondir →
Ressources abiotiques
Les ressources abiotiques sont les ressources naturelles non vivantes, notamment les métaux et minerais, dont l'épuisement est un indicateur majeur de l'ACV. La fabrication des équipements numériques en est fortement consommatrice : c'est l'impact invisible des approches limitées au carbone. Approfondir →
Reconditionné
Un équipement reconditionné est un matériel d'occasion remis en état et testé, vendu avec une garantie, comme alternative à l'achat neuf. La fabrication concentrant l'essentiel des impacts du numérique, le reconditionné est l'un des leviers les plus efficaces d'une politique d'achat responsable. Approfondir →
Sobriété numérique
La sobriété numérique est la démarche qui vise à réduire les impacts du numérique en interrogeant les besoins réels avant d'optimiser les usages. Elle privilégie le questionnement de la pertinence (ce service est-il nécessaire ?) sur la seule efficience technique, pour éviter les effets rebond.
Green IT et IT for Green
Le Green IT désigne la réduction de l'empreinte du numérique lui-même ; l'IT for Green désigne l'usage du numérique pour réduire les impacts d'autres secteurs. Les promesses de l'IT for Green méritent un examen critique : les gains annoncés doivent être mesurés en cycle de vie complet, effets rebond compris. Approfondir →
Fresque du Numérique
La Fresque du Numérique est un atelier collaboratif de sensibilisation aux impacts environnementaux et sociaux du numérique, inspiré de la Fresque du Climat. En une demi-journée, les participants construisent collectivement la compréhension des enjeux puis identifient des pistes d'action. Un format efficace pour embarquer équipes et élus. Approfondir →
Un terme vous concerne directement ?
Premier échange sans engagement pour en parler concrètement.