RGPD : Cartographier vos traitements (N°2 sur 6)

Pour mesurer concrètement l’impact du règlement européen sur la protection des données de votre activité, commencez par recenser de façon précise les traitements de données personnelles que vous mettez en œuvre. La tenue d’un registre des traitements vous permet de faire le point.

Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales.

Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :

  • les différents traitements de données personnelles,
  • les catégories de données personnelles traitées,
  • les objectifs poursuivis par les opérations de traitement de données,
  • les acteurs (internes ou externes) qui traitent ces données ; vous devrez notamment clairement identifier les prestataires sous-traitants,
  • les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

Pour chaque traitement de données personnelles, posez-vous les questions suivantes :

QUI ?

- Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données.
- Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme.
- Etablissez la liste des sous-traitants.

QUOI ?

- Identifiez les catégories de données traitées.
- Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple : les données relatives à la santé ou les infractions)

POURQUOI ?

Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (par exemple : gestion de la relation commerciale, gestion RH…).

OÙ ?

- Déterminez le lieu où les données sont hébergées.
- Indiquez vers quels pays les données sont éventuellement transférées.

JUSQU’À QUAND ?

Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

COMMENT ?

Précisez les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.

 

Vous aurez franchi cette étape si :

  • vous avez rencontré les services et les entités qui traitent des données personnelles,
  • vous avez établi la liste des traitements par finalité principale (et non par outil ou applicatif utilisé) et les types de données traitées,
  • vous avez identifié les sous-traitants qui interviennent sur chaque traitement,
  • vous savez à qui et où les données sont transmises,
  • vous savez où sont stockées vos données,
  • vous savez combien de temps ces données sont conservées.

 

Fiche pratique réalisée par la CNIL.

Ressources :

> Modèle de registre règlement européen [EXCEL]

> Demandez la liste des fichiers déclarés à la CNIL [FORMULAIRE]

 

 


Contactez-nous

Suivez-nous

Un service