Cartographie des données à caractère personnel : un prérequis à la conformité RGPD

Publié le - Mise à jour le

Cartographie des données à caractère personnel : un prérequis à la conformité RGPD
Retour aux actualités

Depuis le 25 mai 2018, tout organisme traitant ou collectant des données personnelles doit respecter le Règlement Général sur la Protection des Données (RGPD). Son article 30, qui impose la création d’un registre des activités de traitement, est un prérequis essentiel à la conformité globale au règlement européen.

 

Un registre obligatoire

Chaque organisme privé ou public a l’obligation de recenser précisément les activités de traitement de données personnelles qu’il met en œuvre, afin de s’assurer de leur conformité au RGPD. Il s’agit-là d’une étape cruciale et sensible dans la poursuite de tout projet RGPD. En effet, une cartographie de données personnelles erronée ou incomplète peut donner lieu à une violation du Règlement, et engendrer pour l’organisme un défaut de conformité menant à une mise en demeure, ou même à de lourdes sanctions pécuniaires.

 

Les informations à recenser

Afin de mesurer correctement l’impact de la législation européenne sur leurs activités de traitement, les organismes ont l’obligation de produire une vue exhaustive et à jour des données personnelles collectées, ainsi que des caractéristiques essentielles de leur traitement. A cette fin, et selon le Règlement, une cartographie pertinente doit indiquer :

  • les différents traitements de données personnelles effectués
  • les catégories de données personnelles traitées, mettant en lumière les données sensibles
  • les objectifs poursuivis par ces traitements
  • le nom des acteurs concernés, internes ou externes (par exemple, responsable du traitement, délégué à la protection des données, ou encore sous-traitant)
  • la destination et l’origine des flux de données, mettant en évidence les transferts de données hors Union Européenne

 

La méthodologie employée

Les responsables du traitement et leur représentant éventuel, ou leur(s) sous-traitant(s), ont la charge de la réalisation concrète et écrite de cette cartographie légale des données personnelles. Pour mener à bien cette mission, ils doivent mettre en place une base de données fiable et exhaustive, alimentée en temps réel, et dans les cas complexes, capable de faire la synthèse de multiples sources d’information, aussi bien techniques que métier. Concrètement, il s’agira pour le « Data Protection Officer » (DPO) de mener un audit permettant de savoir où les données sont stockées, à quelle catégorie elles appartiennent, dans quel but elles sont détenues, et enfin, où elles sont transférées.

Afin d’être conforme notamment quant au rôle de chacun, il est important de revoir les contrats passés avec ses prestataires IT afin notamment de déterminer quelle partie est « responsable » ou « co-responsable » du traitement des données.

 

Après la cartographie, la démarche RGPD doit se poursuivre avec l’analyse des risques sur les droits et libertés des personnes concernées, qui peut également conduire à une étude d’impact sur la protection des données (« Privacy Impact Assessment » ou PIA).

 

Pour en savoir plus :

Et pour aller plus loin, retrouvez toutes nos formations sur le droit du digital, des données personnelles et de la propriété intellectuelle !

Et pour ne rien manquer de l'actualité, téléchargez notre magazine Le Petit Francis ! 

Formations qui pourraient vous intéresser

tealium