Dictionnaire LEGAL du numérique

Tous A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
décision d'homologation [ANSSI référentiel RGS v2 2014]
décision d'homologation [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : la décision d’homologation atteste, au nom de l’autorité administrative, que le système d’information est protégé conformément aux objectifs de sécurité fixés et que les risques résiduels sont acceptés. La décision d’homologation s’appuie sur un dossier d’homologation. Lorsqu'elle concerne un téléservice, cette décision est rendue accessible aux usagers.
décompilation [Directive Logiciel du 23 avril 2009]
décompilation [Directive Logiciel n°2009/24/CE du 23 avril 2009] : reproduction du code ou la traduction de la forme de ce code... indispensable pour obtenir les informations nécessaires à l'interopérabilité d'un programme d'ordinateur créé de façon indépendante avec d'autres programmes.
démarche d'analyse de risques [ANSSI référentiel RGS v2]
démarche d'analyse de risques [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : identifier les évènements qui peuvent affecter la sécurité du système, d’en estimer les conséquences et les impacts potentiels puis de décider des actions à réaliser afin de réduire le risque à un niveau acceptable.
Dérivation de clé [ANSSI guide de sélection d'algorithmes cryptographiques]
Dérivation de clé [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mécanisme de dérivation de clé permet de dériver à partir d’une clé K et d’un identifiant non secret (entier, chaîne de caractères), une clé K′ . La connaissance de K permet de dériver K′ , mais la connaissance de K′ ne permet pas de remonter à K. Ce mécanisme permet de dériver à partir d’un secret initial unique plusieurs clés pour des usages différents. Comme nous allons le voir au paragraphe suivant, un mécanisme de dérivation de clé n’est pas suffisant pour la dérivation de clés à partir d’un mot de passe.
destruction [de données personnelles] [Règlement RGPD]
destruction [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  
détenteur de données [PROJET de Règlement DGA 2020]
détenteur de données [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : une personne morale ou une personne concernée qui, conformément au droit de l’Union ou au droit national applicable, a le droit de donner accès à certaines données à caractère personnel ou à caractère non personnel qu’elle contrôle ou de les partager.
détenteur de secrets d'affaires [Directive Secrets d'affaires 2016]
détenteur de secrets d'affaires [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : toute personne physique ou morale qui a le contrôle d'un secret d'affaires de façon licite.
disponibilité [cité dans Règlement RGPD] sécurité du traitement
disponibilité [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

disponibilité [NORME internationale ISO 27000:2018]
disponibilité [NORME internationale ISO 27000:2018] : propriété d'être accessible et utilisable à la demande par une entité autorisée. ---> le terme "disponibilité" est utilisé dans l'article 32 du Règlement UE "RGPD" n°2016/679 du 27 avril 2016 et dans la Directive UE "NIS" n°2016/1148 du 6 juillet 2016
disponibilité [wikipedia objectif sécurité système d'information]
disponibilité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :
  1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
  2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
  3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
  4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.
dispositif d'enregistrement électronique partagé "DEEP" [article R.211-9-7 CMF]
dispositif d'enregistrement électronique partagé [article R.211-9-7 du Code monétaire et financier] : Le dispositif d'enregistrement électronique partagé mentionné à l'article L. 211-3 est conçu et mis en œuvre de façon à garantir l'enregistrement et l'intégrité des inscriptions et à permettre, directement ou indirectement, d'identifier les propriétaires des titres, la nature et le nombre de titres détenus. Les inscriptions réalisées dans ce dispositif d'enregistrement font l'objet d'un plan de continuité d'activité actualisé comprenant notamment un dispositif externe de conservation périodique des données. Lorsque des titres sont inscrits dans ce dispositif d'enregistrement, le propriétaire de ces titres peut disposer de relevés des opérations qui lui sont propres. ---> voir décret n°2018-1226 du 24 décembre 2018 relatif à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers et pour l'émission et la cession de minibons
dispositif d'enregistrement électronique partagé "DEEP" [pas de définition légale]
dispositif d'enregistrement électronique partagé ou "DEEP" [pas de définition légale] : ---> désigne un protocole blockchain dans la loi PACTE n°2019-486 du 22 mai 2019
dispositif de création de cachet électronique [Règlement eIDAS 2014]
dispositif de création de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif logiciel ou matériel configuré utilisé pour créer un cachet électronique.
dispositif de création de cachet électronique qualifié [Règlement eIDAS 2014]
dispositif de création de cachet électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif de création de cachet électronique qui satisfait mutatis mutandis aux exigences fixées à l’annexe II.
dispositif de création de signature électronique [Règlement eIDAS 2014]
dispositif de création de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif logiciel ou matériel configuré servant à créer une signature électronique.
dispositif de création signature électronique qualifiée [Règlement eIDAS 2014]
dispositif de création de signature électronique qualifiée [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif de création de signature électronique qui satisfait aux exigences énoncées à l’annexe II {du texte précité}.
divulgation non autorisée [de données personnelles] [RGPD]
divulgation non autorisée [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  
DNS pharming [glossaire technique en ligne de l'ANSSI]
DNS pharming [glossaire technique en ligne de l'ANSSI] : activité malveillante visant à modifier un serveur DNS (serveur de noms de domaine), dans le but de rediriger un nom de domaine vers une adresse IP différente de l’adresse légitime. En croyant aller sur un site connu, l’internaute navigue en réalité sur un site factice.  
document électronique [Règlement eIDAS 2014]
document électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel.
documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique [loi n°68-678 du 26 juillet 1968]
documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique [Loi n°68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d'ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères] : article 1er - Sous réserve des traités ou accords internationaux, il est interdit à toute personne physique de nationalité française ou résidant habituellement sur le territoire français et à tout dirigeant, représentant, agent ou préposé d'une personne morale y ayant son siège ou un établissement de communiquer par écrit, oralement ou sous toute autre forme, en quelque lieu que ce soit, à des autorités publiques étrangères, les documents ou les renseignements d'ordre économique, commercial, industriel, financier ou technique dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l'ordre public, précisés par l'autorité administrative en tant que de besoin. article 1bis - Sous réserve des traités ou accords internationaux et des lois et règlements en vigueur, il est interdit à toute personne de demander, de rechercher ou de communiquer, par écrit, oralement ou sous toute autre forme, des documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique tendant à la constitution de preuves en vue de procédures judiciaires ou administratives étrangères ou dans le cadre de celles-ci. NOTE---> [mise à jour du 20 avril 2022] Le décret n° 81-550 du 12 mai 1981 portant application de l'article 2 de la loi du 26 juillet 1968 est abrogé et remplacé par le décret n°2022-207 du 18 février 2022 qui est complété par un arrêté du 7 mars 2022 <---NOTE
données [PROJET de Règlement DGA du 25 novembre 2020]
données [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels.
données à caractère personnel [Règlement RGPD 2016]
données à caractère personnel [Règlement RGPD n°2016/679 du 27 avril 2016] : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
données biométriques [Règlement RGPD avril 2016]
données biométriques [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.
données concernant la santé [Règlement RGPD 2016]
données concernant la santé [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.
données d'identification personnelle [Règlement eIDAS 2014]
données d'identification personnelle [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un ensemble de données permettant d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une personne morale.
données d’identification [ANSSI Référentiel PVID 2021]
données d’identification [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : ensemble de données à caractère personnel acquises et vérifiées par le service afin de vérifier l’identité d’une personne physique. Dans le cadre du présent référentiel les données d’identification peuvent être la vidéo du visage de l’utilisateur, la vidéo du titre d’identité présenté par l’utilisateur, ou les données relatives à l’utilisateur (dont la photographie du visage de l’utilisateur) stockées dans le composant de sécurité du titre d’identité.
données de communications électroniques [PROJET Règlement e-Privacy v1]
données de communications électroniques [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : le contenu de communications électroniques et les métadonnées de communications électroniques.
données de création de cachet électronique [Règlement eIDAS 2014]
données de création de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données uniques qui sont utilisées par le créateur du cachet électronique pour créer un cachet électronique.
données de création de signature électronique [Règlement eIDAS 2014]
données de création de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données uniques qui sont utilisées par le signataire pour créer une signature électronique.
données de validation [Règlement eIDAS du 23 juillet 2014]
données de validation [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données qui servent à valider une signature électronique ou un cachet électronique.
données génétiques [Règlement RGPD avril 2016]
données génétiques [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question.
données hautement personnelles [Délibération CNIL données hautement personnelles 2018]
données hautement personnelles [Délibération CNIL données hautement personnelles n°2018-303 du 6 septembre 2018] : Les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer (utilisation pour des paiements frauduleux par exemple).
droit sui generis [Directive Base de données 1996]
droit sui generis [Directive Base de données n°96/9/CE du 11 mars 1996] : pour le fabricant d'une base de données, le droit d'interdire l'extraction et/ou la réutilisation de la totalité ou d'une partie substantielle, évaluée de façon qualitative ou quantitative, du contenu de celle-ci, lorsque l'obtention, la vérification ou la présentation de ce contenu attestent un investissement substantiel du point de vue qualitatif ou quantitatif.
défense en profondeur [Directive DORA - 14 décembre 2022]
défense en profondeur [Directive DORA n°2022/2554 du 14 décembre 2022] : une stratégie liée à l’informatique intégrant des personnes, des processus et des technologies afin d’établir des barrières diverses à travers les multiples couches et dimensions de l’entité.
diffusion au public [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
diffusion au public [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le fait de mettre des informations à la disposition d’un nombre potentiellement illimité de tiers, à la demande du destinataire du service ayant fourni ces informations.
destinataire actif d’une plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
destinataire actif d’une plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un destinataire du service qui a été en contact avec une plateforme en ligne, soit en demandant à la plateforme en ligne d’héberger des informations, soit en étant exposé aux informations hébergées par la plateforme en ligne et diffusées via son interface en ligne.
destinataire actif d’un moteur de recherche en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
destinataire actif d’un moteur de recherche en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un destinataire du service qui a soumis une requête à un moteur de recherche en ligne et a été exposé aux informations indexées et présentées sur son interface en ligne.
distributeur [Cyber Resilience Act, texte adopté, 12 mars 2024]
distributeur [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés ;
déployeur [Règlement IA du 13 juin 2024]
déployeur [Règlement "IA" du 13 juin 2024 2024/1689] : une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel ;
distributeur [Règlement IA du 13 juin 2024]
distributeur [Règlement "IA" du 13 juin 2024 2024/1689] : une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union ;
destination [Règlement IA du 13 juin 2024]
destination [Règlement "IA" du 13 juin 2024 2024/1689] : l’utilisation à laquelle un système d’IA est destiné par le fournisseur, y compris le contexte et les conditions spécifiques d’utilisation, tels qu’ils sont précisés dans les informations communiquées par le fournisseur dans la notice d’utilisation, les indications publicitaires ou de vente et les déclarations, ainsi que dans la documentation technique ;
données biométriques [Règlement IA du 13 juin 2024]
données biométriques [Règlement "IA" du 13 juin 2024 2024/1689] : les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, telles que des images faciales ou des données dactyloscopiques ;
données de validation [Règlement IA du 13 juin 2024]
données de validation [Règlement "IA" du 13 juin 2024 2024/1689] : les données utilisées pour fournir une évaluation du système d’IA entraîné et pour régler ses paramètres non entraînables ainsi que son processus d’apprentissage, afin, notamment, d’éviter tout sous-ajustement ou surajustement ;
données opérationnelles sensibles [Règlement IA du 13 juin 2024]
données opérationnelles sensibles [Règlement "IA" du 13 juin 2024 2024/1689] : les données opérationnelles relatives à des activités de prévention et de détection des infractions pénales, ainsi que d’enquête ou de poursuites en la matière, dont la divulgation pourrait compromettre l’intégrité des procédures pénales ;
données d’entrée [Règlement IA du 13 juin 2024]
données de test [Règlement IA du 13 juin 2024]
données de test [Règlement "IA" du 13 juin 2024 2024/1689] : les données utilisées pour fournir une évaluation indépendante du système d’IA afin de confirmer la performance attendue de ce système avant sa mise sur le marché ou sa mise en service ;