décision d'homologation [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : la décision d’homologation atteste, au nom de l’autorité administrative, que le système d’information est protégé conformément aux objectifs de sécurité fixés et que les risques résiduels sont acceptés. La décision d’homologation s’appuie sur un dossier d’homologation. Lorsqu'elle concerne un téléservice, cette décision est rendue accessible aux usagers.

décompilation [Directive Logiciel n°2009/24/CE du 23 avril 2009] : reproduction du code ou la traduction de la forme de ce code... indispensable pour obtenir les informations nécessaires à l'interopérabilité d'un programme d'ordinateur créé de façon indépendante avec d'autres programmes.

démarche d'analyse de risques [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : identifier les évènements qui peuvent affecter la sécurité du système, d’en estimer les conséquences et les impacts potentiels puis de décider des actions à réaliser afin de réduire le risque à un niveau acceptable.

Dérivation de clé [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mécanisme de dérivation de clé permet de dériver à partir d’une clé K et d’un identifiant non secret (entier, chaîne de caractères), une clé K′ . La connaissance de K permet de dériver K′ , mais la connaissance de K′ ne permet pas de remonter à K. Ce mécanisme permet de dériver à partir d’un secret initial unique plusieurs clés pour des usages différents. Comme nous allons le voir au paragraphe suivant, un mécanisme de dérivation de clé n’est pas suffisant pour la dérivation de clés à partir d’un mot de passe.

destruction [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

détenteur de données [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : une personne morale ou une personne concernée qui, conformément au droit de l’Union ou au droit national applicable, a le droit de donner accès à certaines données à caractère personnel ou à caractère non personnel qu’elle contrôle ou de les partager.

détenteur de secrets d'affaires [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : toute personne physique ou morale qui a le contrôle d'un secret d'affaires de façon licite.

disponibilité [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

disponibilité [NORME internationale ISO 27000:2018] : propriété d'être accessible et utilisable à la demande par une entité autorisée. ---> le terme "disponibilité" est utilisé dans l'article 32 du Règlement UE "RGPD" n°2016/679 du 27 avril 2016 et dans la Directive UE "NIS" n°2016/1148 du 6 juillet 2016

disponibilité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

dispositif d'enregistrement électronique partagé [article R.211-9-7 du Code monétaire et financier] : Le dispositif d'enregistrement électronique partagé mentionné à l'article L. 211-3 est conçu et mis en œuvre de façon à garantir l'enregistrement et l'intégrité des inscriptions et à permettre, directement ou indirectement, d'identifier les propriétaires des titres, la nature et le nombre de titres détenus. Les inscriptions réalisées dans ce dispositif d'enregistrement font l'objet d'un plan de continuité d'activité actualisé comprenant notamment un dispositif externe de conservation périodique des données. Lorsque des titres sont inscrits dans ce dispositif d'enregistrement, le propriétaire de ces titres peut disposer de relevés des opérations qui lui sont propres. ---> voir décret n°2018-1226 du 24 décembre 2018 relatif à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers et pour l'émission et la cession de minibons

dispositif d'enregistrement électronique partagé ou "DEEP" [pas de définition légale] : ---> désigne un protocole blockchain dans la loi PACTE n°2019-486 du 22 mai 2019

dispositif de création de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif logiciel ou matériel configuré utilisé pour créer un cachet électronique.

dispositif de création de cachet électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif de création de cachet électronique qui satisfait mutatis mutandis aux exigences fixées à l’annexe II.

dispositif de création de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif logiciel ou matériel configuré servant à créer une signature électronique.

dispositif de création de signature électronique qualifiée [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif de création de signature électronique qui satisfait aux exigences énoncées à l’annexe II {du texte précité}.

distributeur [PROJET de Règlement IA du 21 avril 2021] : toute personne physique ou morale faisant partie de la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système d’IA à disposition sur le marché de l’Union sans altérer ses propriétés.

divulgation non autorisée [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

DNS pharming [glossaire technique en ligne de l'ANSSI] : activité malveillante visant à modifier un serveur DNS (serveur de noms de domaine), dans le but de rediriger un nom de domaine vers une adresse IP différente de l’adresse légitime. En croyant aller sur un site connu, l’internaute navigue en réalité sur un site factice.  

document électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel.

documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique [Loi n°68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d'ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères] : article 1er - Sous réserve des traités ou accords internationaux, il est interdit à toute personne physique de nationalité française ou résidant habituellement sur le territoire français et à tout dirigeant, représentant, agent ou préposé d'une personne morale y ayant son siège ou un établissement de communiquer par écrit, oralement ou sous toute autre forme, en quelque lieu que ce soit, à des autorités publiques étrangères, les documents ou les renseignements d'ordre économique, commercial, industriel, financier ou technique dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l'ordre public, précisés par l'autorité administrative en tant que de besoin. article 1bis - Sous réserve des traités ou accords internationaux et des lois et règlements en vigueur, il est interdit à toute personne de demander, de rechercher ou de communiquer, par écrit, oralement ou sous toute autre forme, des documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique tendant à la constitution de preuves en vue de procédures judiciaires ou administratives étrangères ou dans le cadre de celles-ci. NOTE---> [mise à jour du 20 avril 2022] Le décret n° 81-550 du 12 mai 1981 portant application de l'article 2 de la loi du 26 juillet 1968 est abrogé et remplacé par le décret n°2022-207 du 18 février 2022 qui est complété par un arrêté du 7 mars 2022 <---NOTE

données [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels.

données à caractère personnel [Règlement RGPD n°2016/679 du 27 avril 2016] : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

données biométriques [PROJET de Règlement IA du 21 avril 2021] : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.

données biométriques [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.

données concernant la santé [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

données d'entraînement [PROJET de Règlement IA du 21 avril 2021] : les données utilisées pour entraîner un système d’IA en ajustant ses paramètres entraînables, y compris les poids d’un réseau neuronal.

données d'entrée [PROJET de Règlement IA du 21 avril 2021] : les données fournies à un système d’IA ou directement acquises par celui-ci et à partir desquelles il produit un résultat.

données d'identification personnelle [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un ensemble de données permettant d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une personne morale.

données d’identification [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : ensemble de données à caractère personnel acquises et vérifiées par le service afin de vérifier l’identité d’une personne physique. Dans le cadre du présent référentiel les données d’identification peuvent être la vidéo du visage de l’utilisateur, la vidéo du titre d’identité présenté par l’utilisateur, ou les données relatives à l’utilisateur (dont la photographie du visage de l’utilisateur) stockées dans le composant de sécurité du titre d’identité.

données de communications électroniques [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : le contenu de communications électroniques et les métadonnées de communications électroniques.

données de création de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données uniques qui sont utilisées par le créateur du cachet électronique pour créer un cachet électronique.

données de création de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données uniques qui sont utilisées par le signataire pour créer une signature électronique.

données de test [PROJET de Règlement IA du 21 avril 2021] : les données utilisées pour fournir une évaluation indépendante du système d’IA entraîné et validé afin de confirmer les performances attendues de ce système avant sa mise sur le marché ou sa mise en service.

données de validation [PROJET de Règlement IA du 21 avril 2021] : les données utilisées pour fournir une évaluation du système d’IA entraîné et pour régler ses paramètres non entraînables et son processus d’apprentissage, notamment, afin d’éviter tout surajustement; le jeu de données de validation pouvant être un jeu de données distinct ou faire partie du jeu de données d’apprentissage, selon une division variable ou fixe.

données de validation [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données qui servent à valider une signature électronique ou un cachet électronique.

données génétiques [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question.

données hautement personnelles [Délibération CNIL données hautement personnelles n°2018-303 du 6 septembre 2018] : Les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer (utilisation pour des paiements frauduleux par exemple).

droit sui generis [Directive Base de données n°96/9/CE du 11 mars 1996] : pour le fabricant d'une base de données, le droit d'interdire l'extraction et/ou la réutilisation de la totalité ou d'une partie substantielle, évaluée de façon qualitative ou quantitative, du contenu de celle-ci, lorsque l'obtention, la vérification ou la présentation de ce contenu attestent un investissement substantiel du point de vue qualitatif ou quantitatif.

défense en profondeur [Directive DORA n°2022/2554 du 14 décembre 2022] : une stratégie liée à l’informatique intégrant des personnes, des processus et des technologies afin d’établir des barrières diverses à travers les multiples couches et dimensions de l’entité.

diffusion au public [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le fait de mettre des informations à la disposition d’un nombre potentiellement illimité de tiers, à la demande du destinataire du service ayant fourni ces informations.

destinataire actif d’une plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un destinataire du service qui a été en contact avec une plateforme en ligne, soit en demandant à la plateforme en ligne d’héberger des informations, soit en étant exposé aux informations hébergées par la plateforme en ligne et diffusées via son interface en ligne.

destinataire actif d’un moteur de recherche en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un destinataire du service qui a soumis une requête à un moteur de recherche en ligne et a été exposé aux informations indexées et présentées sur son interface en ligne.