Glossaire
Glossaire
Dans la colonne « Définition », les mots figurant dans le glossaire sont mentionnés en italique.
L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible. Les données anonymisées ne sont plus considérées comme des données personnelles et ne sont donc plus soumises à la règlementation applicable à la protection des données.
En raison de la profusion des données disponibles, notamment avec le Big Data, une anonymisation parfaite est cependant difficile à atteindre.
Par conséquent, lorsqu'un texte de loi ou une entité administrative exige l'anonymisation une donnée personnelle, le responsable de traitement n’est pas contraint d’anonymiser parfaitement mais seulement de prendre toutes les dispositions requises pour que l’identité de la personne ne puisse pas être rétablie ou, du moins, ne puisse l’être qu’au prix d’efforts disproportionnés.
L’archivage des données consiste à les rendre accessibles dans le temps comme preuve ou à titre informatif. Le contenu archivé ne peut plus être modifié. L’archivage répond aux principes d’intégrité, de confidentialité et de disponibilité. Les données doivent être dans un format pérenne afin de garantir un accès dans le temps. Ne pas confondre archivage et conservation.
Le Chief Data Officer (CDO) est la personne responsable du pilotage relatif à la gestion des données.
En droit suisse (LRH et ORH), le codage est synonyme de pseudonymisation.
Références : Art. 35 LRH, Art. 26 ORH
Le consentement est défini comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.
Références : Art. 6 ch. 6 et 7 nLPD, Art. 4 ch. 11 RGPD
La conservation est l’action de conserver des données pendant une période définie appelée durée de conservation. (voir schéma « Cycle de vie des données » ci-dessous).
Le Data Manager est la personne qui aide les chercheurs à résoudre les problèmes liés à la gestion des données.
Chacune des cinq Hautes Ecoles (HE) dispose de son Data Manager. Celui-ci est rattaché à sa HE mais dépend fonctionnellement du Chief Data Officer (CDO).
Le Data Protection Officer (DPO) ou délégué à la protection des données est la personne chargée de mettre en œuvre la conformité aux législations de protection de données pour l’ensemble des traitements effectués dans l’organisation.
Références : Art. 37 RGPD, Art. 10 nLPD
Le DOI est une méthode standardisée pour l'identification permanente d'un objet électronique publié (articles scientifiques, livres électroniques, données, …), un genre de code permanent des articles scientifiques. En principe, le DOI est attribué par le dépôt de données. Si ce n’est pas le cas, la HES-SO attribue un DOI.
Références : http://sdis.inrs.ca/doi, https://doi.org/10.18167/coopist/0005
Les données personnelles sont toutes les informations concernant une personne physique identifiée ou identifiable.
Exemples : nom, prénom, adresse e-mail, numéro client, numéro de téléphone, empreinte digitale, voix enregistrée, image.
Une personne physique peut être identifiée :
L’identification d’une personne physique peut se faire :
par croisement de plusieurs données (exemple : une femme vivant à telle adresse, née tel jour et membre dans telle association).
Références : Art. 5 let. a nLPD
Les données personnelles sensibles (données sensibles) sont :
Références : Art. 5 let. c nLPD
Lorsqu’un projet est terminé, les données sont conservées pendant une période déterminée appelée durée de conservation. La durée de conservation peut être fixée par une réglementation, une loi ou par les besoins du projet. Pour les données personnelles, la durée de conservation doit être déterminée par le chef de projet en fonction de la finalité du traitement.
Une durée de conservation de 10 ans, inspirée des règles en matière commerciale ou financière, est souvent appliquée. Pour les données sensibles, la durée est normalement de 20 ans afin de répondre aux exigences du droit de la prescription défini dans le Code des obligations.
Références : Art. 128a CO
L’enregistrement est l’action d’écrire des données sur un support physique (disque dur, SSD, clé USB, …).
Pour l’archivage des données à long terme, il est recommandé d’utiliser un format pérenne. Il s’agit de formats standard, ouverts et largement répandus, qui subissent généralement moins de changements.
Parmi ceux-ci, on peut citer : PDF/A, CSV, TIFF, ASCII, Open Document Format (ODF), XML, Office Open XML, JPEG 2000, PNG, SVG, HTML, XHTML, RSS, CSS, etc.
Liste des formats recommandés par le UK Data Service : https://ukdataservice.ac.uk/learning-hub/research-data-management/format-your-data/recommended-formats/
Loi fédérale sur la protection des données (LPD) du 19 juin 1992
Références : https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/fr
Loi fédérale relative à la recherche sur l’être humain (Loi relative à la recherche sur l’être humain, LRH) du 30 septembre 2011.
Références : https://www.fedlex.admin.ch/eli/cc/2013/617/fr
Dans une analyse de risque, le terme niveau de criticité est équivalent au risque :
Risque (niveau de criticité) = probabilité x impact
Exemple : on affecte une échelle de 1 à 4 pour la probabilité (1=très peu probable, 4=fréquent) et pour l’impact (1=faible, 4=très important), ce qui donne un niveau de criticité entre 1 et 16.
Loi fédérale sur la protection des données (LPD) du 25 septembre 2020
Remarque : cette loi remplacera celle du 19 juin 1992 et entrera en vigueur fin 2022
Références: https://www.parlament.ch/
Ordonnance sur les essais cliniques hors essais cliniques de dispositifs médicaux (Ordonnance sur les essais cliniques, OClin) du 20 septembre 2013.
Références : https://www.fedlex.admin.ch/eli/cc/2013/643/fr
Ordonnance sur les dispositifs médicaux (ODim) du 1er juillet 2020
Références : https://www.fedlex.admin.ch/eli/cc/2020/552/fr
Ordonnance relative à la loi fédérale sur la protection des données (OLPD) du 14 juin 1993
Références : https://www.fedlex.admin.ch/eli/cc/1993/1962_1962_1962/fr
Ordonnance relative à la recherche sur l’être humain à l’exception des essais cliniques (Ordonnance relative à la recherche sur l’être humain, ORH) du 20 septembre 2013.
Références : https://www.fedlex.admin.ch/eli/cc/2013/642/fr
La pseudonymisation ou codage est un traitement de données personnelles réalisé de manière à ce qu'on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire, comme par exemple une table de codage qui indique la correspondance entre le code et la personne. Cette information supplémentaire doit être conservée séparément des données pseudonymisées.
Les données pseudonymisées sont toujours considérées comme des données personnelles et donc soumise à la règlementation applicable à la protection des données.
La réplication des données est un processus qui consiste à les copier dans plusieurs emplacements. Les données répliquées sont régulièrement mises à jour pour assurer la cohérence avec les données source. L’objectif de la réplication est d’améliorer la disponibilité des données et la tolérance aux pannes.
La réplication ne doit pas être confondue avec la sauvegarde. Alors que la sauvegarde est une copie figée des données à un instant t, les données répliquées sont mises à jour en fonction des modifications des données source.
Le Research Data Network Service (RDSN) est une structure opérationnelle, développée à la HES-SO Valais-Wallis et dédiée à la gestion des données de la recherche. Elle intègre notamment un Chief Data Officer (CDO) et des Data Manager.
Références : Mise en place courant 2021
Le responsable du traitement est la personne, l’autorité publique, la société ou l’organisme qui détermine les finalités et les moyens du traitement de données personnelles.
La Direction générale (DG) est le responsable du traitement. Elle assume les risques de la protection des données. La DG nomme des responsables du traitement délégués et leur délègue sa responsabilité
Références : Art. 5 let. j nLPD, Selon décision en séance DGe 01.04.19
Les responsables du traitement délégués sont nommés par la DG qui leur délègue les responsabilités du responsable du traitement.
Les responsables du traitement délégué peuvent être par exemple les responsables de services, les chefs de projet des instituts.
Le chef de projet assume le rôle de responsable du traitement délégué depuis la phase de soumission du projet jusqu’à la clôture de celui. Sa responsabilité s’étend au-delà de la clôture du projet, notamment au niveau des données personnelles qui font l’objet d’une durée de conservation ou d’un archivage à long terme.
Si le chef de projet n’est plus dans l’institution ou s’il a changé de fonction, le rôle de responsable du traitement délégué est assumé par le responsable d’institut.
Références : Selon décision en séance DGe 01.04.19
RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
Références : https://eur-lex.europa.eu/
La sauvegarde (backup) consiste à effectuer une copie de sécurité des données. La sauvegarde est enregistrée à un endroit différent et permet de restaurer les données (restore) après un effacement ou une corruption de celles-ci.
Le stockage des données correspond à leur enregistrement sur un support physique (disque dur, SSD, clé USB, …). Vu de l’utilisateur, le stockage peut être physique ou virtuel (cloud).
Par rapport au cycle de vie des dossiers, le stockage intervient dans la phase d’utilisation. Pour le traitement des données personnelles, le stockage intervient dans les opérations suivantes : collecte, enregistrement, conservation, utilisation, modification et communication.
Toute opération relative à des données personnelles, quels que soient les moyens et procédés utilisés, notamment la collecte, l’enregistrement, la conservation, l’utilisation, la modification, la communication, l’archivage, l’effacement ou la destruction de données.
La communication comprend aussi le partage de données tel que réalisé dans le cadre de projets.
Références : Art. 5 let. d nLPD