TFTP
Le programme de traque du financement du terrorisme (TFTP) est un programme du gouvernement américain pour accéder à la base de données des transactions de SWIFT, révélé par le New York Times en juin 2006. Basée en Belgique, la société SWIFT (Society for Worldwide Interbank Financial Telecommunication) établit des normes communes pour les transactions financières dans le monde entier. Le programme de traque du financement du terrorisme est considéré comme un outil dans la "guerre globale contre le terrorisme". Il est censé permettre un contrôle supplémentaire pouvant s'avérer utile dans le suivi des transactions entre les cellules terroristes. Le programme a suscité des préoccupations sur le fait qu'il pourrait être en infraction avec les lois américaines et européennes sur la confidentialité des données financières, du fait que les mandats de perquisition permettant d'accéder aux données financières ne sont pas obtenus au préalable.
En février 2010, ces préoccupations en matière de protection des données personnelles ont poussé le Parlement européen à rejeter la conclusion d'un accord permettant aux autorités américaines d'accéder aux données des transactions financières européennes. En mai 2010, la Commission a entamé des négociations sur un nouvel accord, dans le but d'assurer une meilleure protection des données personnelles.
Le CEPD a adopté un avis sur le projet d'accord de la Commission européenne en juin 2010 dans lequel il a demandé d'aller plus loin dans les améliorations en matière de protection des données. En juillet 2010, le Parlement européen a donné son accord à la conclusion d'un accord révisé.
Technologies de protection de la vie privée
Le sigle anglais "PET" (pour Privacy Enhancing Technologies), désigne les technologies de protection de la vie privée. Il s'agit d'un système cohérent de mesures relevant des technologies de l'information et de la communication (TIC) qui protègent la vie privée, soit en éliminant les données à caractère personnel ou en en réduisant le nombre, soit en prévenant tout traitement inutile ou excessif de ces données, le tout sans affecter la fonctionnalité du système d'information.
Le recours aux technologies de protection de la vie privée peut aider à concevoir des systèmes et des services d'information et de communication permettant de réduire au minimum la collecte et l'utilisation de données à caractère personnel. Il peut également favoriser le respect des règles relatives à la protection des données, ce qui devrait avoir pour effet de raréfier les infractions à certaines règles de protection des données et d'aider à les détecter.
Les technologies de protection de la vie privée peuvent être des outils autonomes, nécessitant une démarche active de la part des consommateurs (qui doivent les acheter et les installer dans leurs ordinateurs), ou être intégrées à l'architecture même des systèmes d'information.
Tiers
Aux termes de l'article 3 (14) du règlement (UE) n° 2028/1725 , on entend par tiers, "une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel"
Dans le cadre des institutions et organes de l'UE, un tiers peut également être une autorité publique ou un organisme privé qui doit temporairement traiter les données à caractère personnel d'un fonctionnaire. Tel peut être le cas, par exemple, lorsqu'un fonctionnaire qui change de lieu de travail pour entrer en fonction et bénéficie temporairement d'une exonération de la TVA achète une voiture. Dans ce cas, le concessionnaire automobile, la compagnie d'assurance, le ministère des finances et l'autorité responsable de l'immatriculation du véhicule sont des tiers.
Traité de Prüm
Le traité de Prüm est une convention internationale qui a été signée le 27 mai 2005 par la Belgique, l'Allemagne, l'Espagne, la France, le Luxembourg, les Pays-Bas et l'Autriche dans le but d'améliorer la coopération transfrontière à des fins de lutte contre le terrorisme, la criminalité transfrontière et la migration illégale.
En juin 2008, le Conseil a adopté deux décisions intégrant les principales dispositions de cette convention dans le droit de l'UE et, partant, à les étendre à tous les États membres de l'UE. Ces décisions portent essentiellement sur l'échange de données biométriques (ADN et empreintes digitales) entre la police et les autorités judiciaires et sur la constitution de bases de données ADN dans les États membres.
Le CEPD a rendu deux avis (le premier sur l'initiative proprement dite (pdf) et le second sur les règles de sa mise en œuvre (pdf)), dans lesquels il préconise une approche par étapes. Il y insiste également sur le fait que les dispositions spécifiques relatives à la protection des données contenues dans l'initiative ne sont pas autonomes et qu'elles devraient, par conséquent, être complétées par d'autres règles générales en matière de protection des données.
Traitement (de données à caractère personnel)
Conformément à l'article 3 (3) du Règlement (UE) 2018/1725, on entend par traitement de données à caractère personnel "toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction".
Les données à caractère personnel peuvent faire l'objet d'un traitement dans le cadre de diverses activités ayant trait à la vie professionnelle de la personne concernée. Au sein des institutions et des organes communautaires, ces traitements comprennent, par exemple, les procédures de notation du personnel, la facturation des frais de téléphone liés à l'utilisation d'un poste professionnel, les listes des participants à une réunion, le traitement de dossiers disciplinaires et médicaux, ainsi que l'établissement et la diffusion en ligne d'une liste des fonctionnaires et de leurs responsabilités respectives.
Des personnes physiques autres que des membres du personnel, comme des visiteurs, des sous-traitants, des pétitionnaires, etc. peuvent également faire l'objet d'un traitement des données à caractère personnel.
Par transfert de données, on entend la transmission ou la communication de données à un destinataire, de quelque manière que ce soit.
Lorsque le destinataire se trouve dans un pays situé en dehors de l'UE ou de l'Espace économique européen (EEE), les transferts sont assortis de garanties spécifiques énoncées au Chapitres V du RGPD et du règlement (UE) n°2018/1725. Voir par exemple les conditions applicables au transfert de données PNR ou relatives au le bouclier de protection des données UE-États-Unis.