News
Confidentialité Vie privée données personnelles

Cartographier les données à caractère personnel en 6 points clés

Recevoir la newsletter

Pour pouvoir mener à bien le chantier de mise en conformité au RGPD (GDPR en anglais), l’entreprise doit tout d’abord faire un inventaire exhaustif des traitements de données à caractère personnel. Cela implique d'identifier différents éléments et d’appliquer une méthodologie en 6 points. Elle permet notamment de tenir à jour le nouveau registre remplaçant la précédente déclaration à la CNIL.

Quels sont les éléments indispensables à identifier ?

Pour la mise en conformité au RGPD, les entreprises doivent réaliser un certains nombre d’actions particulières. La première d’entre elles consiste à cartographier les traitements de données personnelles. Avant d’aborder la question de la méthodologie, revenons sur les différents éléments à identifier :

  • Un traitement correspond à toute opération ou ensemble d’opérations appliquées à des données personnelles (collecte, modification, extraction, destruction, etc.)
  • Une donnée personnelle se rapporte à toute information concernant une personne physique identifiée ou identifiable
  • Les objectifs du traitement de données correspond à son objectif principal, comme par exemple un suivi client
  • Les acteurs qu’ils soient internes ou externes doivent être identifiés, notamment les sous-traitants avec lesquels l’entreprise doit réviser les clauses de confidentialités
  • Les flux permettent de connaître l’origine et la destination des données et principalement de détecter les transferts à destinations d’un pays hors UE

Toutes ses informations vont permettre à l’entreprise de tenir le registre de traitements des données à caractère personnel. Ce document est un élément indispensable à la mise en conformité au RGPD. Il servira de référence pour transmettre les informations de contrôle à la CNIL.

telecharger-checklist-rgpd

Comment bien tenir son registre de traitements des données ?


La cartographie d’un traitement de données, pour qu’elle soit efficace, s’effectue selon une méthode déclinée en 6 points clés. Pour ce faire il convient de se poser les questions suivantes :

  1. Qui gère ce traitement ? Pour cela, l’entreprise doit inscrire le nom du responsable de traitement ou celui du DPO (Data Protection Officer), identifier les responsables traitant les données au sein de la société et rédiger la liste des sous-traitants (dont la responsabilité sera accrue dès mai 2018)
  2. Quel type de données personnelles est traité ? Il s’agit ici de répertorier les différentes catégories de données traitées et celles qui présentent un risque potentiel pour la vie privée des personnes
  3. Quel est l’objectif du traitement des données ? L’entreprise doit consigner l’objectif principal du traitement, cela peut être pour le suivi client, les relations RH, etc.
  4. Par où transitent les données personnelles ? Il est nécessaire d’identifier les lieux d’hébergement ainsi que les pays vers lesquels sont transférées les données. Cela permet notamment d’assurer la traçabilité des données hors de l’UE
  5. Combien de temps sont stockées les données ? Le temps de conservation des données est également important pour le registre
  6. Quelles sont les mesures de sécurité mises en place ? L’entreprise doit en effet déterminer toutes les données à risques. Elle doit mener, quand c’est nécessaire, des études d’impact sur la vie privée des personnes (PIA ou Privacy Impact Assessment). Le but étant d’assurer le plus haut niveau de sécurité pour chaque traitement

En vous posant ces questions, vous serez en mesure de rédiger et tenir à jour avec efficacité votre registre de traitements des données.



La cartographie des traitements de données est une étape indispensable pour la mise en conformité au RGPD. En effet, elle conditionnera la suite des actions à mener grâce à une meilleure connaissance des données traitées par l’entreprise. En plus d’être un document de référence pour la CNIL, c’est une opportunité stratégique pour l’entreprise qui aura une meilleure maîtrise de ses données.

telecharger-checklist-rgpd