Cartographier vos traitements de données personnelles


Pour mesurer concrètement l’impact du règlement européen sur la protection des données de votre activité, commencez par recenser de façon précise les traitements de données personnelles que vous mettez en oeuvre. La tenue d'un registre des traitements vous permet de faire le point.

Dans le cadre de leur plan d'action pour se mettre en conformité au règlement européen sur la protection des données (RGPD), les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer qu'ils respectent bien les nouvelles obligations légales.

Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :

  • Les différents traitements de données personnelles, 
  • Les catégories de données personnelles traitées ;
  • Les objectifs poursuivis par les opérations de traitements de données ;
  • Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l'Union européenne.

Pour chaque traitement de données personnelles, posez-vous les questions suivantes :

Qui ?

  • Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ;
  • Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;
  • Etablissez la liste des sous-traitants.

Quoi ?

  • Identifiez les catégories de données traitées
  • Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions)

Pourquoi ?

  • Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).

Où ?

  • Déterminez le lieu où les données sont hébergées.
  • Indiquez quels pays les données sont éventuellement transférées.

Jusqu’à quand ?

  • Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

Comment ?

  • Quelles mesures de sécurité sont mises en œuvre  pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées ?

Vous aurez franchi cette étape si

  • Vous avez rencontré les services et les entités qui traitent des données personnelles ;
  • Vous avez établi la liste des traitements par finalité principale (et non par outil ou applicatif utilisé) et les types de données traitées ;
  • Vous avez identifié les sous-traitants qui interviennent sur chaque traitement ;
  • Vous savez à qui et où les données sont transmises ;
  • Vous savez où sont stockées vos données ;
  • Vous savez combien de temps ces données sont conservées.