GLOSSAIRE DE TERMES

Accès à l'information publique : Droit fondamental consistant en le pouvoir qu'a toute personne
de connaître l'existence et l'accès à l'information publique en possession ou sous le contrôle de
sujets obligés. (Loi 1712 de 2014, art 4)

Atout : Par rapport à la sécurité de l'information, il désigne toute information ou élément lié à son
traitement (systèmes, supports, bâtiments, personnes...) qui a de la valeur pour l'organisation.
(ISO/CEI 27000).

Actif informationnel : En ce qui concerne la confidentialité des informations, il s'agit de l'actif qui
contient des informations publiques que l'entité réglementée génère, obtient, acquiert,
transforme ou contrôle en sa qualité de tel.

Dossier : Ensemble de documents, quels qu'en soient la date, la forme et le support matériel,
accumulés au cours d'un processus naturel par une personne ou une entité publique ou privée, au
cours de leur gestion, conservés dans le respect de cet ordre pour servir de témoignage et
d'information au public .personne ou institution qui les produit et citoyens, ou comme sources de
l'histoire. Elle peut aussi être comprise comme l'institution au service de la gestion administrative,
de l'information, de la recherche et de la culture. (Loi 594 de 2000, art 3)

Menaces : cause potentielle d'un incident indésirable, qui peut causer des dommages à un
système ou à l'organisation. (ISO/CEI 27000).

Analyse des risques : Processus pour comprendre la nature du risque et déterminer le niveau de
risque. (ISO/CEI 27000).

Audit : Processus systématique, indépendant et documenté pour obtenir des preuves d'audit et
évidemment pour déterminer dans quelle mesure les critères d'audit sont satisfaits. (ISO/CEI
27000).

Autorisation : Consentement préalable, exprès et éclairé du Propriétaire pour effectuer le

Traitement des données personnelles (Loi 1581 de 2012, art 3)

Bases de données personnelles : ensemble organisé de données personnelles faisant l'objet d'un
traitement (loi 1581 de 2012, art 3)

Cybersécurité : Capacité de l'État à minimiser le niveau de risque auquel les citoyens sont exposés,
face à des menaces ou des incidents de nature cyber. (CONPES 3701).

Cyberespace : C'est l'environnement physique et virtuel composé d'ordinateurs, de systèmes

informatiques, de programmes informatiques (logiciels), de réseaux de télécommunications, de
données et d'informations qui sert à l'interaction entre les utilisateurs. (Résolution CRC 2258 de
2009).

Contrôle : Les politiques, procédures, pratiques et structures organisationnelles conçues pour

maintenir les risques de sécurité de l'information en dessous du niveau de risque supposé. Le
contrôle est également utilisé comme synonyme de sauvegarde ou de contre-mesure. Dans une
définition plus simple, c'est une mesure qui modifie le risque.
Données ouvertes : Sont toutes ces données primaires ou non traitées, qui sont dans des formats
standards et interopérables qui facilitent leur accès et leur réutilisation, qui sont sous la garde
d'entités publiques ou privées qui remplissent des fonctions publiques et qui sont mises à la
disposition de tout citoyen, librement et sans restrictions, afin que des tiers puissent les réutiliser
et créer des services dérivés d'eux (Loi 1712 de 2014, art 6)

Données Personnelles : Toute information liée ou pouvant être associée à une ou plusieurs
personnes physiques déterminées ou déterminables. (Loi 1581 de 2012, art 3).

Données Personnelles Publiques : Ce sont les données qui ne sont pas semi-privées, privées ou
sensibles. Les données publiques sont considérées, entre autres, comme les données relatives à
l'état civil des personnes, à leur profession ou métier et à leur statut de commerçant ou de
fonctionnaire. En raison de leur nature, les données publiques peuvent être contenues, entre
autres, dans des archives publiques, des documents publics, des journaux et bulletins officiels et
des décisions de justice dûment exécutées qui ne sont pas soumises à la confidentialité. (Décret
1377 de 2013, art 3)

Données personnelles privées : ce sont les données qui, en raison de leur nature intime ou
réservée, ne concernent que le propriétaire. (Loi 1581 de 2012, art 3 littéral h)

Données personnelles mixtes : Aux fins de ce guide, il s'agit d'informations qui contiennent des
données personnelles publiques ainsi que des données privées ou sensibles.

Données personnelles sensibles : les données sensibles sont celles qui affectent la vie privée du
Propriétaire ou dont l'utilisation abusive peut générer une discrimination, telles que celles qui
révèlent l'origine raciale ou ethnique, l'orientation politique, les convictions religieuses ou
philosophiques, l'appartenance à un syndicat , organisations sociales, de défense des droits de
l'homme ou qui promeuvent les intérêts de tout parti politique ou qui garantissent les droits et
garanties des partis politiques d'opposition, ainsi que les données relatives à la santé, à la vie
sexuelle et aux données biométriques. (Décret 1377 de 2013, art 3)

Déclaration d'applicabilité : Document qui liste les contrôles appliqués par le Système de
Management de la Sécurité de l'Information - SMSI, de l'organisation après le résultat des
processus d'évaluation et de traitement des risques et leur justification, ainsi que la justification
des exclusions de contrôles de l'annexe A de l'ISO 27001. (ISO/CEI 27000).

Droit à la vie privée : Droit fondamental dont le noyau essentiel est l'existence et la jouissance
d'une orbite réservée à chaque personne, exempte de l'intervention du pouvoir de l'État ou de
l'ingérence arbitraire de la société, qui permet à ladite personne le plein épanouissement de sa vie
personnelle, vie spirituelle et culturelle (Jurisprudence de la Cour Constitutionnelle).

Sous-traitant : personne physique ou morale, publique ou privée, qui, seule ou en association avec
d'autres, effectue le traitement des données personnelles pour le compte du responsable du
traitement. (Loi 1581 de 2012, art 3)

Gestion des incidents de sécurité de l'information : processus de détection, de signalement,

d'évaluation, de réponse, de traitement et d'apprentissage des incidents de sécurité de
l'information. (ISO/CEI 27000).
Information publique classifiée : Il s'agit de l'information qui, étant en la possession ou sous la
garde d'un sujet obligé en sa qualité de tel, appartient à la sphère personnelle, privée ou semi-
privée d'une personne physique ou morale, pour laquelle son accès peut être refusé ou excepté, à
condition qu'il concerne les circonstances légitimes et nécessaires et les droits particuliers ou
privés consacrés à l'article 18 de la loi 1712 de 2014. (Loi 1712 de 2014, art 6)

Information publique réservée : il s'agit de l'information qui, étant sous le pouvoir ou la garde d'un
sujet obligé en sa qualité de tel, est exclue de l'accès à la citoyenneté en raison d'une atteinte aux
intérêts publics et sous réserve du respect de toutes les exigences énoncées à l'article 19 du Loi
1712 de 2014. (Loi 1712 de 2014, art 6)

Loi Habeas Data : fait référence à la loi statutaire 1266 de 2008.

Loi sur la transparence et l'accès à l'information publique : fait référence à la loi statutaire 1712 de
2014.

Mécanismes de protection des données personnelles : Ils sont constitués des différentes
alternatives dont disposent les entités destinataires pour offrir une protection aux données
personnelles des titulaires, telles que l'accès contrôlé, l'anonymisation ou le cryptage.

Plan de continuité des activités : Plan visant à permettre la poursuite des principales fonctions
missionnaires ou commerciales en cas d'événement imprévu les mettant en danger. (ISO/CEI
27000).

Plan de traitement des risques : Document qui définit les actions pour gérer les risques de sécurité
de l'information inacceptables et mettre en place les contrôles nécessaires pour les protéger.
(ISO/CEI 27000).

Confidentialité : dans le cadre de ce document, la confidentialité s'entend comme le droit dont

disposent toutes les personnes concernées par rapport aux informations qui impliquent des
données personnelles et des informations classifiées qu'elles ont fournies ou sont en possession
de l'entité dans le cadre des fonctions qui il est responsable de l'exécution et qui génèrent dans les
entités destinataires du Manuel GEL l'obligation corrélative de protéger lesdites informations dans
le respect du cadre légal en vigueur.

Registre National des Bases de Données : Annuaire public des bases de données soumises au
Traitement qui opèrent dans le pays. (Loi 1581 de 2012, art 25)

Responsabilité démontrée : conduite affichée par les personnes responsables ou en charge du

traitement des données à caractère personnel en vertu de laquelle, à la demande de la
Surintendance de l'industrie et du commerce, elles doivent être en mesure de démontrer audit
organe de contrôle qu'elles ont mis en œuvre des mesures appropriées et efficaces. se conformer
aux dispositions de la loi 1581 de 2012 et de ses règlements.

Responsable du traitement des données : personne physique ou morale, publique ou privée, qui,
seule ou en association avec d'autres, décide de la base de données et/ou du traitement des
données. (Loi 1581 de 2012, art 3).
Risque : possibilité qu'une menace particulière puisse exploiter une vulnérabilité pour causer la
perte ou l'endommagement d'un actif informationnel. Il est souvent considéré comme une
combinaison de la probabilité d'un événement et de ses conséquences. (ISO/CEI 27000).

Sécurité de l'information : Préservation de la confidentialité, de l'intégrité et de la disponibilité des

informations. (ISO/CEI 27000).

Système de management de la sécurité de l'information SMSI : ensemble d'éléments

interdépendants ou interactifs (structure organisationnelle, politiques, planification des activités,
responsabilités, processus, procédures et ressources) utilisé par une organisation pour établir une
politique et des objectifs de sécurité de l'information et atteindre lesdits objectifs, sur la base d'un
management et démarche d'amélioration continue. (ISO/CEI 27000).

Titulaires des informations : Personnes physiques dont les données personnelles font l'objet d'un
Traitement. (Loi 1581 de 2012, art 3)

Traitement de Données Personnelles : Toute opération ou ensemble d'opérations sur des données
personnelles, telles que la collecte, le stockage vente, utilisation, circulation ou suppression. (Loi
1581 de 2012, art 3).

Traçabilité : Qualité qui permet d'associer sans équivoque à une personne physique ou morale
toutes les actions réalisées sur une information ou un système de traitement de l'information.
(ISO/CEI 27000).

Vulnérabilité : Faiblesse d'un actif ou d'un contrôle pouvant être exploité par une ou plusieurs
menaces. (ISO/CEI 27000).

Parties intéressées (partie prenante) : personne ou organisation qui peut affecter, être affectée ou
se percevoir comme affectée par une décision ou une activité.