Glossaire

Définir qui sont les acteurs de la conformité amène nécessairement à éclairer la notion même de conformité. On peut l’assimiler à une harmonie parfaite entre le comportement d’un individu ou d’un groupe et la réglementation qui régit cet individu ou ce groupe. Les acteurs de la conformité seront les architectes de cette harmonie, déployant une série d’actions insufflée par une méthode. Et c’est précisément cette méthode qui est formulée dans ce traité. De quelles actions parle t-on ? Ces acteurs de la conformité, ces architectes de l’harmonie, vont identifier, évaluer et contrôler les risques de non-respect de dispositions législatives ou réglementaires. L’information, la formation et le conseil sont autant de rôles attachés à ces acteurs. Mais qui sont-ils ? Quand on évoque le terme de « responsable de la conformité », on pense au très célèbre « DPO » ( Data Protection Officer ). En effet, le RGPD a rendu obligatoire la désignation d’un délégué à la protection des données. Mais le DPO, aussi obligatoire soit-il, n’est pas l’unique ambassadeur de la conformité. On entendra ainsi par « acteurs de la conformité » le délégué à la protection des données, oui, mais aussi la personne physique dont on protège les libertés et droits fondamentaux, le responsable de traitement, le sous-traitant ou encore l’autorité de contrôle (la CNIL). Nous définissons plus précisément certains de ces acteurs dans le glossaire.

L’audit, c’est un contrôle de la conformité mené en interne. L’enjeu est éminemment important, raison pour laquelle la pratique des audits occupe une place essentielle dans le RGPD. On dénombre plusieurs sortes d’audits. L’audit participatif permet d’incorporer les opérationnels dans le travail de recherche des meilleures mesures de sécurité pour remédier aux brèches dans la conformité. Il y a aussi les audits d’évaluation préalable, visant à examiner et améliorer les processus internes. Faisant suite aux audits d’évaluation, si une faille de sécurité est identifiée ou lorsqu’une plainte est déposée, on programme des audits de conformité qui pourront déterminer des sanctions demandées par le DPO. Dans ce traité est exposé un audit de la conformité reposant sur une évaluation de la conformité de chaque traitement. De la capacité à auditer dépend la confiance dans le numérique ! A Lénine qui déclarait « La confiance n’exclut pas le contrôle », nous répondons qu’il la sert évidemment.

Une application mobile est un logiciel applicatif développé pour un appareil électronique mobile, tel qu'un assistant personnel, un téléphone portable, un smartphone, une tablette tactile. Elles sont pour la plupart distribuées depuis des plateformes de téléchargement (parfois elles-mêmes contrôlées par les fabricants de smartphones) telles que l'App Store (plateforme d'Apple), le Google Play (plateforme de Google / Android), ou encore le Microsoft Store (plateforme de Microsoft pour Windows 10 Mobile). Les applications distribuées à partir des magasins d'applications sont soit payantes, soit gratuites mais généralement avec des publicités. Développer une application mobile peut avoir du sens pour nos activités ou simplement fluidifier des process métiers entre professionnels. Elles peuvent donc viser à être largement diffusées via des plateformes où elles seront accessibles au téléchargement avec ou sans contribution finacière. Elles peuvent aussi être téléchargeable par les personnes qui en ont besoin sur un espace privé d’une organisation pour des activités mutualisées ou qui doivent être accessibles en ligne pour des raisons de distances ou de mobilité.

En informatique, une application métier est un outil permettant de faciliter la gestion des activités d’une entreprise. L’objectif est de simplifier les tâches et d’automatiser les processus des utilisateurs au sein de l’entreprise. Les organisations peuvent acheter une application standard prête à l’emploi, ou opter pour le développement d’une application métier sur mesure. La solution choisie dépendra du secteur d’activité, de la structure de l’entreprise, des besoins des utilisateurs et des problèmes à résoudre dans l’organisation. Par définition, l’application métier doit être facteur de productivité et de rentabilité pour l’entreprise. Chez Data Transition, c’est notre Dada, donnez nous vos besoins, on fera des merveilles, on a fait Privanciel avec nos petites mains, on sait de quoi on parle !

Les animateurs de communauté Web, gestionnaires de communauté, ou community managers sont chargés de créer une communauté d’internautes, de la fédérer autour d’intérêts communs, et d’animer des échanges sur ces thèmes, pour le compte d’une entreprise ou d’une marque. Ils sont leur porte-parole sur les réseaux sociaux. Leurs principales missions sont les suivantes : Créer la stratégie de présence numérique de la marque (identification des objectifs, des cibles, des réseaux sociaux correspondants, création de la ligne éditoriale...) et la mettre en place. Chez Data Transition, c’est Laure ISabelle et Michaël qui pilotent. Dynamiser les échanges, inviter à la discussion et favoriser les débats, modérer les échanges au sein de la communauté selon le respect de la charte d’utilisation des réseaux sociaux; veiller au respect des règles de conduite, surveiller l’e-réputation de la marque en identifiant par exemple les médias sociaux externes qui parlent de la marque pour participer au dialogue. Si cette compétence est identifiée, elle pourra être interne ou externe chez notre client, nous accompagnerons sa formation ou identifierons une compétence externe pour répondre aux besoins. Dans le cadre de la stratégie, identifier des indicateurs pour mesurer les résultats, dans certains cas, créer du contenu : vidéos, textes, infographies etc. La diffusion de contenus sur les médias sociaux par les employés de l'entreprise, ce qu'on appelle aussi “Employee Advocacy”, relève en général des prérogatives des animateurs de communauté7. Cela peut aboutir à des activités de social selling, en général en lien avec les équipes commerciales ou marketing. Les animateurs de communauté exercent leur activité en interne, au sein d’une entreprise, ou à l'externe, dans une agence web, comme consultant ou en indépendant. Si cette compétence est identifiée, elle pourra être interne ou externe chez notre client, nous accompagnerons sa formation ou identifierons une compétence externe pour répondre aux besoins.

C’est une technologie de stockage et de transmission d'informations sans autorité centrale. Techniquement, il s'agit d'une base de données distribuée dont les informations envoyées par les utilisateurs et les liens internes à la base sont vérifiés et groupés à intervalles de temps réguliers en blocs, formant ainsi une chaîne. L'ensemble est sécurisé par cryptographie. Par extension, une chaîne de blocs est une base de données distribuée qui gère une liste d'enregistrements protégés contre la falsification ou la modification par les nœuds de stockage ; c'est donc un registre distribué et sécurisé de toutes les transactions effectuées depuis le démarrage du système réparti. Il existe une analogie avec le réseau Internet, car dans les deux cas les technologies emploient des protocoles informatiques liés à une infrastructure décentralisée. Internet permet de transférer des paquets de données d'un serveur « sûr » à des clients distants (charge aux destinataires de vérifier l'intégrité des données transmises), alors qu'une blockchain permet à la « confiance » de s'établir entre des agents distincts du système. Avec la technologie blockchain, le « tiers de confiance » devient le système lui-même : chaque élément réparti de la blockchain contient les éléments nécessaires pour garantir l'intégrité des données échangées (par un algorithme cryptographique).

Dans le cadre des analyses d’impacts, un travail de diagnostique des risques de non-conformité est entrepris. La cartographie est une étape de ce vaste chantier qu’est la mise en conformité et elle est à la racine d’un bon audit des pratiques. Qu’est ce qui est cartographié ? Les flux informationnels dans leur entièreté, tels que définis dans ce glossaire, après avoir été identifiés, font l’objet de cette cartographie, tout comme les traitements de données découlant des flux informationnels. La perfection étant une affaire de minutie, le présent traité décompose l’élaboration de la cartographie afin de la rendre propre à chaque traitement, à chaque flux informationnel.

La conformité à fort à voir avec la vérité. On peut la concevoir avec justesse comme une quête vers la transparence, par la mise à nu des pratiques de l’organisation. Cette démarche noble ne doit donc pas limiter notre acception du terme de conformité à des considérations législatives ou réglementaires. La conformité, c’est éclairer, identifier, définir les mesures de sécurité aptes à répondre aux impacts. Les actions concrètes à échafauder en vue d’une mise en conformité sont détaillées dans ce traité et elles se concordent en quelques axes élémentaires : le tri et la sécurisation des données, le respect des droits des personnes.

La communication numérique, parfois appelée « communication digitale » (anglicisme), est un champ des sciences de l’information relatif à l'utilisation de l’ensemble des médias numériques : le web, les médias sociaux ou les terminaux mobiles par exemple. Ces médias sont utilisés comme des canaux de diffusion, de partage et de création d'informations. Chez Data Transition, nous travaillons à l’identité de votre marque (l’image que votre marque doit donner à voir, une personnalité claire et sincère) Nous déclinons ensuite cette identité afin de créer des lignes directrices de contenus et de media afin de pouvoir diffuser au mieux cette marque, la faire connaitre et apprécier et déclencher chez les audiences identifiées, les actions qui sont souhaitez : adhérer, acheter, comprendre, lire, commenter, s’associer, diffuser …

Les chefs de projet Web présentent un profil spécifique du métier de Chef-fe de projet. Les chefs de projet Web (ou chargés de projet Web) sont les personnes chargées de mener un projet et de contrôler son bon déroulement. De manière générale, ils dirigent ou animent une équipe pendant la durée du ou des divers projets dont ils ont la charge. Chez Data Transition, c’est Michaël notre chef de projet web. Ce rôle fait appel à des compétences de gestion de projet, de bonnes capacités relationnelles, ainsi que des connaissances techniques dans les domaines concernés. Dans le domaine de la communication numérique, les chefs de projet Web doivent pouvoir apporter un point de vue commercial et technique pour évaluer la faisabilité d'un projet numérique et son adéquation avec la stratégie de communication numérique de l'entreprise et avec sa stratégie de communication globale. Chez Data Transition, Laure Isabelle collabore sur ces sujets Ils doivent établir un budget prévisionnel, un cahier des charges, ainsi qu’un planning de réalisation avec des délais à respecter. Chez Data Transition, c’est Yohann qui est en charge du développement, de ces étapes et de son organisation. De plus, les chefs de projet Web doivent allier des capacités relationnelles et des connaissances techniques pour collaborer avec les équipes de graphistes, de rédacteurs et de programmeurs externes et/ou interne à l’entreprise. En chefs d'orchestre, ils encadrent le projet jusqu'à la réalisation finale. Nous travaillons tous les 3, échangeons et faisons participer d’autres compétences si nécéssaire. Une fois la réalisation achevée, il reste aux chefs de projet à tester le produit fini et à prévoir les évolutions futures.

Le but des chargés de référencement est d'augmenter le trafic ciblé, de meilleure qualité, sur un site internet pour une meilleure rentabilité. Ils sont chargés d'évaluer et de mettre en place des actions techniques et éditoriaux pour aider la bonne indexation du site. Ils sont des experts du Search Engine Marketing et de l'optimisation pour les moteurs de recherche Si cette compétence est identifiée, elle pourra être interne ou externe chez notre client, nous accompagnerons sa formation ou identifierons une compétence externe pour répondre aux besoins.

Il est partout ! Dans les campagnes de son recueil, dans les vils perfidies pour l’obtenir, et souvent sur les réseaux sociaux ! Oui, le consentement est indéfectible du RGPD, et en constitue l’essence. La maîtrise du texte est mécaniquement dépendante d’une bonne compréhension de ce qu’implique le consentement. L’importance prise par cette notion dans le droit français est à mettre en perspective avec la doctrine juridique et philosophique qui irrigue notre droit, celle de l’autonomie de la volonté. Cette doctrine, qu’Emmanuel Kant érigea comme « le principe unique de toutes les lois morales et des devoirs qui y sont conformes », se dressa autrefois contre l’arbitraire absolutiste et se consacra dans l’affirmation de la liberté. Dans ce paradigme, tout acte juridique procède de l’expression de la volonté individuelle ou collective. Aujourd’hui encore, le consentement est étroitement corrélé avec l’expression de cette liberté de se prononcer, ou non, en faveur d’un acte juridique. L’autonomie de la volonté fonde l’esprit d’un droit dont le concept de consentement est le témoin. Cet esprit imprègne le droit des obligations notamment. Le consentement de l’individu, c’est une volonté manifestement exprimée par lui de s’engager, de réaliser un acte juridique. Le consentement doit donc être manifesté par la personne qui l’exprime. Le RGPD ajoute des critères pour valider le consentement. D’abord, on exige du consentement qu’il réunisse un ensemble de caractère : la volonté manifestée doit être « libre, spécifique, éclairée et univoque ». Aussi, il doit être donné dans une forme particulière : la personne doit accepter « par une déclaration ou par un acte positif clair ». Enfin, on précise l’objet de ce consentement : il doit concerné, pour la personne qui accepte, « des données à caractère personnel faisant l’objet d’un traitement ».

La Commission Nationale de l’Informatique et des Libertés. C’est une autorité administrative indépendante qui agit au nom de l’État sans être placé sous son autorité. Elle alerte, conseille et informe les acteurs publics et privés et dispose d’un pouvoir de contrôle et de sanction dans le domaine de la protection des données. On peut directement introduire des réclamations auprès de la CNIL lorsque le responsable de traitement ou le sous-traitant est établi en France ou que des personnes résidant en France sont affectées par le traitement ou sont susceptibles de l’être.

Le design thinking (littéralement « penser le design »), en français démarche design1 ou conception créative2, est une méthode de gestion de l'innovation élaborée à l'université Stanford aux États-Unis dans les années 1980 par Rolf Faste. Cette méthode, qui se veut une synthèse entre pensée analytique et pensée intuitive, relève du design collaboratif, pratique du design qui implique les usagers dans un processus de co-créativité. Le processus se déroule en 5 étapes Comprendre le client Cette étape consiste à interroger le client intéressé en se mettant en empathie avec lui. Il s'agit d'établir ce qu'il fait, pense, ressent et dit et d'obtenir une phrase du type « l'intéressé » a besoin de « quelque chose » en raison d'« autre chose ». Définir le problème Cette étape vise à mettre en place un « bon point de vue » : cadre du problème ; inspiration pour l'équipe ; référentiel d'évaluation de la pertinence des idées ; parallélisation des prises de décision de l'équipe ; établissement des « Comment pourrait-on... ». Trouver la solution Cette phase est celle de la production d'idées, au moyen de techniques comme le remue-méninges (brainstorming). Prototyper sa solution Étape clef, le prototypage permet : de gagner en empathie par identification avec l'utilisateur ; d'explorer des options ; de réaliser des tests ; d'inspirer les autres membres de l'équipe. Tester sa solution Cette phase permet d'avoir un retour de l'utilisateur et d'affiner le « bon point de vue ». Ce processus assure au développement et à l’accompagnement d’un projet des étapes précises et qui permettent d’éviter de nombreux écueils dus à des certitudes et de gagner dans les phases de développement de perdre un temps précieux et onéreux. Dans le cadre d’ateliers d’idéation ou de hackahtons menés sur des problématiques précises à résoudre, ce processus permet d’arriver à des solutions collectives qui incluent tous les acteurs impliqués dans la production. Il permet de prototyper les solutions et de pouvoir les expérimenter avant de les implémenter ou de les developper dans leurs environnements.

Il est la personne en charge de la protection des données à caractère personnel au sein d’une organisation. Au sens large, il est l’instigateur de la mise en conformité de l’organisation à l’ensemble du RGPD. Le texte prévoit, à cet égard, que les entreprises exerçant des activités dans le domaine des données personnelles devront désigner un DPO pour réaliser un contrôle de la conformité. On retrouve dans le RGPD, en son article 37, des dispositions relatives spécialement au délégué à la protection des données personnelles. C’est bien à vous, (futurs?) DPO, que s’adresse ce traité.

L’article 4 du RGPD définit ces données comme toute information se rapportant à une personne physique identifiée ou identifiable. La personne physique identifiable étant définie comme pouvant être identifiée directement ou indirectement. On considérera que les données suivantes amènent potentiellement à une identification : un identifiant ( un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ), ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. On le voit, c’est une définition large qui permet aisément l’exhaustivité dans l’analyse des données personnelles utilisées pour chaque activité.

Vaste entreprise qu’est celle de définir fidèlement le concept de droits des personnes sans faire un simple index de ces droits assemblés sous le même étendard, celui des droits de l’homme. Le sens profond de ce concept réside en vérité dans l’association du mot « droits » à celui de « personnes », ou d’« humains ». Il ne s’agit assurément pas des « droits », mais des « droits de l’homme », on ne saurait donc se satisfaire d’une définition d’un attribut de l’homme sans observer ce dernier. Jean-Jacques Rousseau enseignait déjà à ses contemporains que « Renoncer à sa liberté c’est renoncer à sa qualité d’homme, aux droits de l’humanité, même à ses devoirs ». Le socle essentiel des droits des personnes serait la liberté. Et y renoncer affecterait non seulement les droits que cette liberté engendre mais dépouillerait l’homme de sa qualité en gommant sa condition. Il ne s’agit pas de priver l’ensemble du vivant de divers droits, qu’il convient d’ailleurs de reconnaître quand il le faut, mais d’octroyer à l’homme, dans une magnifique foi humaniste, des droits qui deviendraient presque sa marque anthropologique. Les droits de l’homme ne s’apprécieraient pas sans cette foi. Ce parti est moral au plus haut degré, et il précède largement les initiatives du droit. Les idées libérales des Lumières imbibaient les milieux intellectuels bien avant les premières déclarations que l’Histoire retient. Nous devons nuancer ce parti par l’évocation de certains auteurs qui considèrent au contraire que les droits humains procéderaient d’abord du droit. L’un des plus notables est Jürgen Habermas qui pense que « le concept de droits de l’homme n’est pas d’origine morale, mais une modalité spécifique du concept moderne de droit subjectif… ces droits de l’homme ont par nature un caractère juridique ». Finalement, chacun pourra fonder la légitimité de ses droits humains sur la morale ou le droit. Au fond, c’est là notre liberté d’opinion.

Qu'est-ce que le DevOps ? Le terme “DevOps” est composé des termes “développement” et “opérations”. Il s’agit d’une pratique visant à fusionner le développement, l’assurance qualité, et les opérations à savoir le déploiement et l’intégration en un unique ensemble de processus continus. Cette méthodologie nouvelle est une extension naturelle des approches Agile et de livraisons continue. En adoptant le DevOps, les entreprises profitent de trois avantages principaux. Tout d’abord, le DevOps permet d’accélérer les lancements de produits et d’améliorer leur qualité. Cette accélération est liée à la livraison continue, permettant de recevoir un feedback plus rapidement. Ainsi, les développeurs peuvent corriger les bugs de façon précoce. Les équipes peuvent donc se focaliser sur la qualité du produit et automatiser les processus. Le second avantage du DevOps est une meilleure réactivité aux besoins et à la demande des clients. Les équipes sont en mesure de réagir aux demandes de changement des clients plus rapidement, en ajoutant de nouvelles fonctionnalités ou en mettant à jour celles déjà existantes. Enfin, le DevOps permet de créer un meilleur environnement de travail. Les membres des équipes peuvent mieux communiquer, tandis que leur productivité et leur agilité sont également accrues. De manière générale, les équipes adoptant le DevOps sont plus productives et polyvalentes.

Les ergonomes Web conçoivent et améliorent les environnements numériques. Leur objectif est de rendre l’espace virtuel le plus adapté possible à la requête humaine. Ils doivent s’appuyer sur les conventions du web : les standards techniques (World Wide Web Consortium), les normes de navigation et de perception, afin de faciliter et influencer le parcours de l'utilisateur. Si cette compétence est identifiée nécéssaire, elle pourra être interne ou externe chez notre client, nous accompagnerons sa formation ou identifierons une compétence externe pour répondre aux besoins.

C’est une organisation qui possède un statut juridique autonome et indépendant. Ce peut-être une entreprise, un organisme gouvernemental, une association caritative, ou plus simplement une personne physique ou morale qui dispose d’une existence légale et de la capacité de conclure des accords ou des contrats. Dans le RGPD, il existe une solidarité entre toutes les entités juridiques constitutives de la chaîne de traitements des données. Le travail de mise en conformité des organismes implique donc de recenser toutes les entités juridiques à qui des données sont envoyées ou de qui ces organismes en reçoivent. Le terme d’entités juridique couvre à la fois les entités juridiques extérieures à l’organisme, et ses filiales internes, si elles possèdent un statut juridique autonome et indépendant.

Les premières formulations de ce qu’est le développement Full Stack (ou Fullstack) apparaissent en 2008, sous la plume de Randy Schmidt. Le terme de « Full Stack » fait référence à toutes les piles qui se superposent pour permettre le fonctionnement d’un site internet. Ce profil de développeur est alors défini comme un individu maîtrisant à la fois : la gestion du projet de création du site web, en lien avec le client et le reste de l’équipe; la création du Front-end (ce que l’utilisateur voit quand il navigue en ligne) ; la programmation du Back-end (serveur, applications et bases de données accessibles aux administrateurs du site) ; la maintenance et la résolution des problèmes. De façon plus précise, il est capable de : configurer l'infrastructure d'un projet ainsi que les dépendances entre les différents composants logiciels à utiliser ; concevoir, manipuler et interroger des bases de données ; concevoir le code de 'back-end' et les API d'accès à ces données sous forme de webservices, en utilisant des langages tels que Java, Python, Ruby, PHP, Javascript ; concevoir le code de 'front-end' qui est exécuté sur la plate-forme de l'utilisateur, le plus souvent dans un navigateur Web sur un smartphone ou un ordinateur de bureau, dans des langages tels que Javascript et ses bibliothèques, HTML, CSS ; de gérer et planifier un projet (par exemple avec des méthodes de développement agiles telles que Scrum ou Kanban) ; d’interagir avec le client, cerner et définir ses besoins, s'adapter lorsque ceux-ci évoluent ; documenter l'ensemble des parties d'un projet. Un développeur full stack est ainsi familiarisé avec chacune de ces couches, même s'il a souvent une affinité ou des compétences plus étendues dans l'une d'elles. Ses compétences larges lui permettent de travailler sur des projets de petite à moyenne importance (en termes de volume de travail et/ou complexité) sans avoir à recourir à d'autres développeurs. Pour des projets de grande envergure, ses connaissances étendues restent un atout dans une équipe : il comprend comment les différentes parties communiquent et s'articulent et peut être à l'initiative de propositions judicieuses concernant les choix techniques. Chez Data Transition, c’est Yohann et nous lui confions la coordination de développeurs complémentaires ou spécifiques selon les besoins du projet.

L’idée de la protection des données à caractère personnel collectées et traitées par un organisme est corollaire d’une mise en conformité de la mission entière qui est la sienne. On doit donc considérer que c’est la définition précise de la mission d’un organisme qui octroie à cet organisme une conformité. L’utilisation et le traitement de données à caractère personnel doivent s’inscrire dans un but précis : c’est la finalité d’usage. Concrètement, la finalité d’usage indique ce à quoi la donnée va servir. La finalité doit être déterminée, légitime et explicite. L’objectif défini doit être compatible avec les missions de l’organisme. Aussi, la finalité doit être respectée, les données ne peuvent pas être utilisées pour un autre objectif que celui qui a été défini.

Le flux informationnel peut être comparé à un canal, celui par lequel circule la donnée. C’est l’idée de suivre la donnée comme on suit l’argent au travers de tous les supports par lesquels elle passe, de sa collecte initiale à sa suppression, afin de s’assurer d’une sécurisation la plus fine possible. De la transparence des flux informationnels dépend la confiance dans le numérique. Ce sont ces flux qu’il faut identifier et cartographier afin d’auditer les pratiques et de mettre en conformité les traitements de données qui en sont issus.

Le fondement juridique, ou la « base juridique » du traitement des données à caractère personnel est ce qui autorise légalement sa mise en œuvre par l’organisme. Il existe six bases légales prévues par le RGPD : le consentement, le contrat, l’obligation légale, la sauvegarde des intérêts vitaux, l’intérêt public et les intérêts légitimes.

L'intelligence collective ou de groupe se manifeste par le fait qu'une équipe d'agents coopérants peut résoudre des problèmes plus efficacement que lorsque ces agents travaillent isolément. Pour Pierre Lévy, il s’agit d'une « intelligence partout distribuée, sans cesse valorisée, coordonnée en temps réel, qui aboutit à une mobilisation effective des compétences » Elle résulte entre autres de la qualité des interactions entre ses membres (ou agents). L’intelligence collective est étudiée en sociobiologie, en sciences politiques et dans le contexte de l'étude des performances de systèmes socio-techniques, tels que les applications de crowdsourcing L'intelligence collective a également été attribuée et étudiée chez les animaux et des organismes aussi simples que les bactéries Les principes de l'intelligence collective sont aujourd'hui appliqués en sociologie, en sciences du management, en informatique et dans les théories de la communication, notamment dans le but de mieux mobiliser les compétences disponibles au sein d’une équipe, d’une institution. Dans le cadre de nos prestations, nous privilégions cette forme d’échanges dans le cadre d’atelier de Brainstorming, de design thinking, d’hackathons ou même de simple réunion. Nous respectons des règles simples de collaboration qui permettent de mettre en présence des acteurs qui souhaitent des propositions mais également des personnes qui vont les utiliser afin d’identifier des communs à ne pas mettre de côté. Nous privilégions cette forme d’idéation, plus efficace et plus rentable pour les acteurs qui initient le projet numérique ou qui sollicite nos prestations d’ateliers pour des projets de transition de quelque nature qu’ils soient.

Un impact sur la vie privée désigne la traduction concrète d’un risque abstrait dont le scénario décrit un évènement redouté ou une menace qui permettrait la survenance de cet évènement. Le caractère abstrait du risque sur la vie privée est apprécié selon sa gravité et sa vraisemblance. Par exemple, il peut s’agir d’une atteinte à la confidentialité ou l’intégrité des données et ses impacts sur les droits et libertés des personnes. L’appréciation et l’évaluation du risque est réalisée lors de l’analyse d’impact qui déterminera un niveau d’impact.

Nous entendrons ici par ce terme les données en général. Tout au long de la méthode exposée, un suivi de l’information est assuré en identifiant et en cartographiant ses flux.

L’intégrité de la donnée désigne la fiabilité et la crédibilité de la donnée durant son cycle de vie. C’est le résultat garanti par une bonne protection de la donnée. C’est donc sur le versant de la sûreté de la donnée qu’il faut œuvrer pour préserver son intégrité. Le règlement général sur la protection des données précise en son article 32 que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Schématiquement, l’intégrité de la donnée doit être compris comme l’enjeu, le risque accepté comme le défi, et les mesures assumées comme des solutions pour relever ce défi.

La licéité, c’est le caractère de ce qui est conforme à la loi. Une distinction bien faite entre les concepts de légalité et de licéité pourra éclairer la place exacte occupée par la licéité dans le RGPD et dans ce Traité. La légalité est le caractère de ce qui se rapporte à la loi, de ce qui s’y conforme. L’affirmation rigoureuse du caractère légal d’un acte ou d’un comportement est immanquablement complétée par la citation du texte de loi que concerne cet acte ou ce comportement. La licéité, c’est plus généralement ce qui est permis et autorisé par le droit. En effet, la loi n’est pas le seul support de l’autorisation de tout acte que l’on peut légitimement revendiqué comme « licite ». L’acte ou le comportement se fonde alors sur des usages, des coutumes, la morale ou la religion, tout en étant permis par la loi. On peut dire d’un acte qu’il est illicite religieusement mais tout à fait légal puisque conforme à la loi. Dans le RGPD, la licéité du traitement est exigée par la détermination d’une base légale prévue par le texte, tout ce qui est licite étant évidemment légal dans l’acception juridique du terme.

En tout lieux et tout domaines où l’Histoire s’écrit, le sort de la liberté est engagé. Car la lutte perpétuelle pour la liberté n’est jamais plus vive que là où le changement s’opère. L’avènement de l’ère numérique ne fait pas exception à cette logique et sur tous les fronts de l’innovation technologique, on peut constamment interroger le devenir des libertés publiques. Formellement, l’intention de ne rien céder a été gravé dans le marbre de la loi Informatique et Libertés du 6 janvier 1978. L’article 1er pose que « l'informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Il convient de préciser la place des libertés publiques sur le terrain des libertés fondamentales et d’en saisir les enjeux du point de vue de l’avènement de l’ère numérique. L’expression de libertés publiques est conceptualisée par la doctrine française comme étant un pouvoir d’autodétermination reconnu par des normes à valeur au moins législative et bénéficiant d’une protection renforcée même à l’égard des pouvoirs publics. L’autodétermination renvoie à la capacité de l’homme à exercer ses pouvoirs sur lui-même sans que l’intervention d’autrui soit nécessaire. La valeur au moins législatives est assurée par la valeur constitutionnelle octroyée au sein de la Constitution de 1958. La question centrale est donc de savoir comment se prémunir de la puissance publique pour protéger l’autodétermination du citoyen en ligne par la liberté d’opinion ou de pensée, la liberté d’expression et la liberté de la presse.

La mesure de sécurité est le moyen qui assure, partiellement ou totalement, la protection de l’information contre la ou les menaces informatique dont elle fait l’objet. La mise en œuvre d’une mesure de sécurité vise à anéantir ou à réduire au maximum la réalisation concrète d’une menace. Aussi, l’objectif est de minimiser autant que faire se peut les pertes qui résulteraient de cette réalisation. La mise en œuvre des mesures de sécurité est exigée par le RGPD et doit être potentiellement prouvée. La lisibilité des mesures mises en œuvre est donc primordiale. Ce traité incite à la mise en place d’un référentiel de mesures de sécurité qui permettra d’identifier chaque mesure de sécurité mise en œuvre, de préciser à quel risque elle répond et de pouvoir y attacher ou de permettre un lien vers la documentation qui prouve que la mesure de sécurité est effective.

La mise en conformité des traitements est une démarche visant à faire respecter les prescriptions légales et réglementaires qui leurs sont applicables. Les directeurs juridiques doivent être en mesure de prouver leur conformité légale et réglementaire en intégrant la « conformité juridique » dans le quotidien opérationnel par des programmes et des processus de vérification. Le RGPD permet aux organismes de gérer leur conformité d’une façon dynamique et de démontrer qu’ils respectent la réglementation : registre des traitements, mentions d'information, analyses d'impact sur la protection des données, encadrement des transferts, référentiels, certifications ou codes de bonne conduite.

Le principe de Privacy by design prévoit de protéger les données personnelles dès la conception. L’article 25 du RGPD, intitulé « Protection des données dès la conception et protection des données par défaut » intègre ce principe. Il s’agit de protéger les données personnelles dès la conception de projets impliquant un traitement de données au sein d’un organisme. L’application du principe de Privacy by design permet la mise en place des mesures préventives qui visent à limiter les risques de violation des données à caractère personnel dès la conception du projet. Le principe de Privacy by design a un impact certain sur les entreprises qui tendent à se responsabiliser et à devenir de plus en plus transparente.

Les notes Post-it se présentent sous forme de petits blocs carrés ou rectangulaires de feuilles détachables et repositionnables, de tailles variables, et de couleurs vives et claires (traditionnellement le jaune, mais aussi le rose, le vert, l'orange, couleurs fluos, etc.), ayant une petite bande autoadhésive au dos. On les trouve en version unie, mais aussi lignés ou quadrillés. Si la marque appartenant à 3M est aujourd'hui couramment utilisée comme nom, le brevet de base est lui aussi entré dans le domaine public depuis 2000. Les notes Post-it de 3M sont fabriquées à Cynthiana, dans le Kentucky, ainsi qu'à Beauchamp, en France, pour le marché européen. Les Post-it sont très utilisées dans une forme particulière de remue-méninges : les participants écrivent leurs idées sur des Post-it puis vont les coller sur un mur, un panneau ou un tableau de conférence. Il est alors possible de les regrouper par thème. Cette méthode de créativité est cependant parfois critiquée voire moquée : elle facilite l'analyse, mais rendrait la synthèse difficile. On peut alors déboucher sur un mur de Post-it inexploitable. Chez Data Transition, tout commence par un Post it et nous savons les capitaliser pour en faire une arme efficace pour toutes nos interventions. Nous compilons un outils numérique pour organiser, synthétiser ces petits carrés de couleurs et en extirper toute la substantifique moelle !

Aux termes de l’article 4 du RGPD, on entend par « responsable de traitement », « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre ».

Parce que les internautes n'ont pas le même schéma de lecture que les lecteurs lambda, les rédacteurs Web sont des acteurs indispensables de la stratégie de communication numérique. Sur Internet, les règles d'écriture diffèrent de celles de la presse écrite. La rédaction doit être plus concise, rapidement compréhensible, et surtout dynamique. Le rôle des rédacteurs Web relève donc de la production de contenus adaptés au web. Cette rédaction doit tenir compte des exigences des moteurs de recherche — nombre et pertinence des mots clés, pertinences des liens hypertextes etc. — tout en prenant en compte la dimension interactive du web. Comme tout bons rédacteurs, ils doivent faire faire preuve d'une maitrise parfaite de la langue d'expression mais aussi être formés aux techniques de référencement (pour la rédaction des méta-données, par exemple) ou encore connaitre les secrets du langage HTML et de l'écriture Web. Si cette compétence est identifiée, elle pourra être interne ou externe chez notre client, nous accompagnerons sa formation ou identifierons une compétence externe pour répondre aux besoins.

Un site web, site Web, ou simplement site, est un ensemble de pages web et de ressources reliées par des hyperliens, défini et accessible par une adresse web. Un site est développé à l'aide de langages de programmation web, puis hébergé sur un serveur web accessible via le réseau mondial Internet, un intranet local, ou n'importe quel autre réseau, tel que le réseau Tor. L'ensemble des sites web publics constituent le World Wide Web Un site web est la porte d’entrée de vos activités. Aujourd’hui, la plupart des recherches de produits et services se font via des moteurs de recherche et il est donc indispensable d’être référencé dans ces espaces de recherches.

Aux termes de l’article 4 du RGPD, on entend par «sous-traitant», « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Le système d’information est un élément central du fonctionnement d’une organisation. C’est un ensemble de ressources permettant la collecte, le stockage, la structuration, la modélisation, la gestion, la manipulation, l'analyse, le transport, l'échange et la diffusion des informations au sein d'une organisation. Les ressources nécessaires sont le personnel, les logiciels, les processus, les données, les matériels,les équipements informatiques et de télécommunications. Les informations peuvent à la fois désigner des textes, des images, des sons ou des vidéos. Les ressources informatiques regroupent les fichiers de données, les bases de données et les systèmes de gestion de bases de données, les progiciels de gestion intégrée, les outils de gestion des clients, de la chaîne logistique, les outils de travail collaboratif, les infrastructures de workflow, les architectures d’intégration, et les infrastructures réseaux.

Sur un site de vente en ligne, leur rôle est de mettre en place la prise de parole des clients sur le site de la marque, de favoriser le "buzz" de la marque et de s'occuper de la logistique. Si cette compétence est identifiée, elle pourra être interne ou externe chez notre client, nous accompagnerons sa formation ou identifierons une compétence externe pour répondre aux besoins.

Le transfert de responsabilité est l'instant ou un bien sous la responsabilité d'une organisation ou d'une personne devient sous la responsabilité d'une autre organisation ou d'une autre personne. On remarquera qu’il existe des cas de transfert de responsabilité au sein même des organisation. Ce transfert fera l’objet d’un contrat.

Les sociétés modernes ont soif de transparence. Tout ce qui est caché attire la suspicion. La morale, la religion et les idéologies comme pierres angulaires de nos sociétés ont été rejetées dans un même élan opposé à l’opacité des ordres hiérarchisés en dignité. La nature ayant horreur du vide, nous avons élu la vérité comme le sel de notre société. Marcel Proust disait ainsi que « Dans une langue que nous savons, nous avons substitué à l'opacité des sons la transparence des idées ». Cette aspiration est sans fin et se nourrit de ce qu’elle projette d’anéantir : jamais la quête de vérité et de transparence ne souffrira de tarissement tant que le mensonge, le secret et le mystère perdureront. Dans tous les domaine, on réclame aujourd’hui la transparence. Tout commença assurément en politique, car depuis ce 6 octobre 1789 où on mit à nu la monarchie en contraignant le roi à paraître au balcon du château de Versailles, on ne cesse de réclamer plus de transparence, le secret est synonyme de complot et de corruption. Dans l’économie numérique, la transparence se traduit par une volonté d’établir une relation de confiance entre les organismes et les utilisateurs. L’ascendant dont jouit le professionnel sur l’utilisateur doit être contrebalancé par une transparence de l’utilisation de toutes les données recueillies par ce professionnel. La confiance dans le numérique est le corollaire de la capacité à auditer les flux informationnels des organisations, mais aussi de rendre transparents et accessibles les algorithmes utilisés.

L’éthique s’intéresse aux contradictions et aux déviances que la technologie numérique induit sur les valeurs humaines. Les valeurs et les responsabilités doivent être appréhendées différemment aujourd’hui. L’éthique est une réflexion qui permet de guider les choix dans un contexte changeant. Le comportements et les agissements sont alors interrogés et c’est l’éthique qui va, non pas apporter de réponses directes mais offrir un cadre cohérent. L’éthique du numérique n’est pas objectivement définie. Mais certains principes sont constamment revendiqués dans le monde numérique, tant par les simples utilisateurs que par les professionnels. La tendance est la remise au cœur du débat de l’humain. Il s’agit de responsabiliser les acteurs du numérique en les sensibilisant notamment au « bon usage » des outils numériques. L’éthique de l’usage commence dès la conception des projets, en intégrant un éthique du code, c’est l’éthique « by design ».*