Article 2
Aux fins de la présente loi on entend par :
« autorité de protection » : l'autorité administrative indépendante de protection des données à caractère personnel instituée par l'article 37 ;
« chiffrement » : procédé de transformation cryptographique des données permettant de les rendre incompréhensibles à toute personne qui ne dispose pas de la clé de déchiffrement ;
« consentement de la personne concernée » : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ;
« destinataire » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière ne sont pas considérées comme des destinataires ;
« données à caractère personnel ou données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »). Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
« données concernant la santé » : les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ;
« données biométriques » : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ;
« données génétiques » : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question ;
« données sensibles » : les données à caractère personnel qui révèlent, directement ou indirectement, des opinions ou des appartenances politiques, les origines raciales ou les origines ethniques, les convictions religieuses, philosophiques ou l'appartenance syndicale, ou encore des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique ou des données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique ;
« fichier » : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
« entreprise » : une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique ;
« groupe d'entreprises » : entreprise qui exerce le contrôle et les entreprises qu'elle contrôle du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou encore du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel ;
« limitation du traitement » : le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ;
« organisation internationale » : une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord ;
« profilage » : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser celles-ci pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ;
« pseudonymisation » : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ;
« règles d'entreprises contraignantes » : les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire de la Principauté pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi à l'étranger au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe ;
« représentant » : une personne physique ou morale établie sur le territoire de la Principauté, ou, à défaut, au sein d'un État membre de l'Union européenne, désignée par tous moyens écrits par le responsable du traitement ou le sous-traitant dans les conditions de l'article 25 ;
« responsable du traitement » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui détermine, seul ou conjointement avec d'autres, les finalités et les moyens du traitement ;
« service de la société de l'information » : tout service, à titre onéreux ou non, rendu à distance et sans que les parties soient simultanément présentes, par voie électronique et à la demande individuelle d'un destinataire de services ;
« sous-traitant » : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
« tiers » : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ;
« traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, notamment la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'extraction, la consultation, l'utilisation, l'adaptation ou la modification, la communication, l'archivage, l'effacement ou la destruction de données, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'application d'opérations logiques ou arithmétiques à ces données ;
« traitement à grande échelle » : toute opération qui vise à traiter un volume considérable de données à caractère personnel, pouvant affecter un nombre important de personnes concernées apprécié en valeur absolue ou en valeur relative par rapport à la population concernée, et susceptible d'engendrer un risque élevé, compte tenu notamment de la durée ou la permanence de l'activité de traitement et de son étendue géographique ;
« violation de données à caractère personnel » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.