RGPD : Comment cartographier vos traitements de données personnelles ?

Le RGPD entre en vigueur dans quelques mois. Il sera source de nouvelles obligations pour vous. La toute première étape pour vous conformer à cette nouvelle réglementation qui concerne les données personnelles consiste à cartographier l’ensemble de vos traitements de données personnelles.
Il s’agit concrètement pour vous de mettre en place une documentation interne complète sur l’ensemble des traitements de données personnelles sous votre responsabilité. Cette documentation vous permettra de vous assurer que ces traitements respecte bien l’ensemble des nouvelles obligations légales et notamment l’étude d’impact sur la vie privée.

Cartographier tous les traitements de données personnelles

Pour répondre à votre obligation légale de conformité aux nouvelles dispositions relatives à la protection des données personnelles vous devez recenser et cartographier précisément un ensemble d’éléments.

Les différents traitements mis en oeuvre

Cartographier les traitements de données personnelles Vous devez référencer les différents traitements de données personnelles que vous mettez en œuvre. L’article 4 du Règlement défini ainsi un traitement comme « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensemble de données à caractère personnel, tel que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Cette définition de la notion de traitement contenu dans le RGPD englobe l’ensemble des opérations possibles sur des données personnelles.

Les différentes catégories de données personnelles traités

Dans le cadre du RGPD, est considéré comme une donnée personnelle, toute information se rapportant à une personne physique identifiée ou identifiable. Le Règlement ajoute qu’est ainsi réputée être une personne physique identifiable, une personne physique qui peut être identifié directement ou indirectement, notamment par référence à un identifiant comme son nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Vous le voyez, la notion de données personnelles est extrêmement large.

Les objectifs de traitement des données personnelles

Il s’agit de préciser sur votre documentation, les objectifs poursuivis par les opérations de traitements de données. Un objectif de traitement de données personnelles peut être de gérer le personnel.

Les intervenants sur les données personnelles

Vous devez cartographier tous les acteurs, en interne ou externe qui manipulent les données personnelles. Vous devez par exemple identifier clairement les prestataires sous-traitants pour en tenir dans vos relations et actualiser les clauses de confidentialité contenues dans les contrats.

Les flux de données personnelles

Vous devez documenter les flux de données en indiquant pour chacun d’eux, l’origine et la destination des données. Une telle cartographie permet d’identifier les éventuels transferts de données hors de l’Union Européenne et ainsi limiter les risques.

Les questions à se poser pour chaque traitement de données personnelles

Pour chaque traitement de données personnelles que vous réalisez vous devez vous poser chacune des questions suivantes.

Qui a accès aux données personnelles ?

Cartographier les traitements de données personnelles

Vous devez inscrire dans le registre les éléments suivants :  le nom et les coordonnées du responsable du traitement ainsi que de son représentant légal et si besoin les coordonnées du délégué à la protection des données.

Vous devez également identifier les responsables des services opérationnels traitant les données au sein de votre entreprise.

 

Enfin, vous devez préciser la liste de vos sous-traitants.

Qu’est-ce qui est fait aux données personnelles ?

C’est en réalité répondre à la question « quoi ». Vous devez identifier les différentes catégories de données que vous traitez. Vous devez également identifier les données susceptibles de soulever des risques particuliers en raison de leur sensibilité c’est notamment le cas des données relatives à la santé.

Pourquoi faire ?

Vous devez ici indiquer la où les finalités pour lesquelles vous avez connecté vous traiter les données. Il s’agit de préciser l’objectif principal d’une application informatique de données personnelles. Cela peut notamment être la gestion des ressources humaines.

Où sont les données personnelles ?

Vous devez ici déterminer les lieux physiques où sont hébergées les données personnelles. Vous devez également indiquer dans quel pays les données sont éventuellement transférer. Cette question est particulièrement importante notamment pour les données en cloud. En effet ces données peuvent être déménagées très facilement et il peut être difficile de suivre précisément les déménagements successifs.

Jusqu’à quand ?

Vous devez ici préciser pour chaque catégorie de données combien de temps vous souhaitez les conserver. Il n’est en effet pas possible de garder indéfiniment les données personnelles. Cela peut, par exemple être cinq ans à l’issue d’un contrat. Cinq ans est en effet la durée de prescription en cas de mise en cause de responsabilité. Au delà de cette durée vous n’avez plus d’intérêt à conserver les données personnelles.

Comment sont traitées les données personnelles ?

Il s’agit ici pour vous de préciser toutes les mesures de sécurité que vous mettez en œuvre pour limiter les risques d’accès non autorisé aux données personnelles. Il s’agit pour vous de limiter le plus possible l’impact sur la vie privée des personnes concernées. La première mesure de sécurité consiste à mettre en place des mots de passe pour accéder ou aux ordinateurs.

Cartographier une telle documentation de la gestion des données personnelles réclame une stratégie fine voire une remise à plat totale de l’architecture de votre système d’information. Cela peut être l’occasion de vous inspirer du Privacy by Design.

Mettre en place un registre de traitement des données

L’article 30 du Règlement impose aux entreprises de plus de 250 salariés de tenir un registre des traitements effectués. Ce registre doit comporter, entre autres, le nom et les coordonnées du responsable du traitement, les finalités du traitement, la catégorie de destinataires auxquels les données à caractère personnel ont été ou seront communiqués. C’est par la consultation de ce registre que débutera tout contrôle de la CNIL.

Même si vous n’êtes pas tenu à mettre en place un tel registre de traitement de données, cela peut-être opportun notamment pour formaliser votre cartographie.

Et vous ? Où en êtes vous de la cartographie des données personnelles qui vous sont confiées ?

2 commentaires sur « RGPD : Comment cartographier vos traitements de données personnelles ? »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *