Vous le savez, le RGPD oblige toute entreprise à protéger la vie privée des personnes dont elle collecte les données personnelles. Mais votre gestion des données est-elle suffisamment sécurisée ? Et d’ailleurs, savez-vous exactement quelles données vous collectez ? Une cartographie RGPD de vos traitements va vous aider à y voir plus clair dans vos process !
1. RGPD, Quel est le rôle d’une cartographie de traitements ?
C’est décidé, vous vous mettez en conformité avec le RGPD. Excellente décision ! Cap sur la cartographie de vos traitements de données personnelles, qui constitue un état des lieux indispensable. Son objectif ? Dresser une vue exhaustive des données personnelles collectées et traitées au sein de votre entreprise, afin de vous assurer de leur conformité aux obligations légales. Cette étape est très importante pour le déroulement et le bon pilotage de votre mise en conformité, car elle vous permet :
- De comprendre tous vos flux de données : collecte, lieux de conservation, transmission, suppression… ;
- De savoir qui sont les acteurs internes et externes concernés ;
- De répertorier les objectifs de vos traitements de données ;
- De recueillir les informations nécessaires à la constitution de la documentation légale obligatoire (vos registres des traitements, les demandes de consentement des personnes, etc).
Mais concrètement, comment réalise-t-on une cartographie des traitements de données à caractère personnel ? Suivez le guide !
2. RGPD, Les étapes à suivre pour une cartographie des traitements
Une cartographie s’articule autour de 6 questions, qui vous permettent de dresser un panorama clair de chaque flux de données qui transite dans votre entreprise.
Qui gère le traitement ?
Il s’agit ici de savoir qui sont les acteurs internes ou externes qui manipulent les données. Au programme : noter le nom et les coordonnées du responsable de traitement, identifier les personnes qui traitent concrètement les données et dresser la liste des sous-traitants, s’ils existent.
Quelles données sont collectées ?
Ensuite, vous devez déterminer quelles données vous collectez et identifier leur catégorie (exemple : sont-elles des données relatives à l’identité, des données bancaires, des données de localisation…). Vous devez également à ce stade identifier si certaines de ces données comprennent des risques particuliers pour la sécurité et la vie privée des personnes – par exemple, collectez-vous des données relatives à la santé ?
Quel est l’objectif poursuivi ?
Pourquoi collectez-vous ces données ? C’est la question que vous devez vous poser, et ce, pour chaque catégorie d’entre elles. Par exemple, s’agit-il d’une nécessité pour la bonne gestion des ressources humaines de votre entreprise, ou bien des données nécessaires à une relation commerciale avec vos clients ? La finalité soit être claire – au regard du RGPD, s’il y a collecte, il doit toujours y avoir une raison précise à cette collecte.
Où les données sont-elles hébergées ?
Il faut ici déterminer les lieux (physiques) où sont hébergées les données personnelles : dans un Cloud externe ? Sur un serveur interne ? Dans un classeur papier ? Vous devez aussi identifier le ou les pays vers le(s)quel(s) elles sont susceptibles d’être transférées, afin de pouvoir les suivre à la trace.
Combien de temps les données sont-elles stockées ?
Une donnée ne peut jamais être stockée sans limite temporelle. Vous devez préciser combien de temps il est nécessaire de conserver chaque catégorie de données, selon l’objectif poursuivi.
Comment les données sont-elles sécurisées ?
Question cruciale que celle-ci ! La sécurité des données est en effet au cœur du RGPD et vous devez vous assurer que vous faites tout pour en limiter les accès non autorisés. Vous devez ainsi cartographier toutes les mesures de sécurité mises en œuvre : mots de passe, cryptages, etc, afin d’identifier les potentielles failles.
Une fois toutes ces étapes réalisées, vous aurez une vue d’ensemble des flux de données qui transitent dans votre entreprise, des collaborateurs qui y ont accès ainsi que mesures de sécurité associées. Cette cartographie claire est une étape indispensable à votre mise en conformité : vous savez maintenant quels aspects sont à améliorer afin de respecter la réglementation en vigueur !
