Afin de satisfaire aux obligations du RGPD dans votre structure, vous devez impérativement recenser, de façon exhaustive et précise, les traitements de données à caractère personnel que vous réalisez. Autrement dit, toute démarche s’inscrivant dans le cadre de la mise en conformité au RGPD passe par la tenue d’une documentation complète dite dossier d’accountability, et le registre de traitement en fait partie. Tout comme l’analyse d’impact relative à la protection des données, l’accompagnement pour la cartographie des traitements de données à caractère personnel doit être assuré par un expert du domaine. À cet effet, Nouvel Horizon Conseil, cabinet disposant des ressources lui permettant de vérifier si vos traitements satisfont réellement aux exigences du RGPD, vous propose son expertise.
Pourquoi réaliser la cartographie des traitements de données à caractère personnel effectués par son entité ?
Avec l’entrée en vigueur du RGPD, le traitement de toute donnée à caractère personnel est conditionné au déploiement d’un certain nombre de mesures techniques et organisationnelles pour garantir leur sécurité. La réalisation d’une cartographie des données va dans cette logique dans la mesure où elle facilite la gestion des données et garantit leur protection.
En effet, cette opération est une étape cruciale dans la procédure de mise en conformité au Règlement Général sur la Protection des Données (RGPD), car pour y aboutir, chaque structure doit connaître concrètement les données qu’elle traite dans le cadre de son activité. L’article 30 du règlement statue clairement là-dessus en imposant la création d’un registre des activités de traitement, qui est en réalité un impératif à la conformité au règlement. D’ailleurs, c’est l’un des tout premiers documents à présenter lors d’un contrôle de la CNIL. Pour établir ce registre, il faut obligatoirement mettre en œuvre une cartographie des données à caractère personnel qui recense :
-
les objectifs poursuivis par les traitements de données à caractère personnel réalisés;
-
les catégories de données traitées ;les acteurs (internes externes) impliqués ;
-
les flux, en précisant la destination des données.
Au-delà de répondre à une obligation légale, la cartographie des traitements et la mise en place d’un registre de traitement permettent à un organisme d’avoir une vue exhaustive sur l’ensemble des données qu’il collecte et traite dans le cadre de ses activités.
Comment réaliser une cartographie des données ?
En vue d’orienter les structures dans la réalisation de leur cartographie des traitements de données à caractère personnel, la CNIL a mis au point une liste de questions auxquelles elle (cartographie) doit répondre.
1. Qui traite les données ?
Il s’agit d’inscrire dans le document les coordonnées du responsable du traitement, de son représentant légal et du délégué à la protection des données, le cas échéant. Il faut également établir la liste des services opérationnels impliqués dans le traitement des données et celle des sous-traitants lorsqu’ils existent.
2. Quelles sont les données à caractère personnel traitées ?
La tâche, à ce niveau, consiste à catégoriser les données traitées
3. Pourquoi traiter ces données ?
Il s’agit de préciser les finalités pour lesquelles les données sont collectées et traitées.
4. Où sont ces données ?
Préciser la localisation des données et les pays dans lesquels elles sont éventuellement transférées.
5. Pendant quelle durée ?
Pour chaque catégorie de données, indiquer la durée de conservation.
6. Comment les données personnelles collectées sont-elles protégées ?
Enfin, il faut présenter les mesures techniques et organisationnelles mises en œuvre pour protéger les données
Nouvel Horizon Conseil : profitez de notre accompagnement pour la réalisation de la cartographie des traitements des données à caractère personnel
Soulignons à l’entame qu’une cartographie erronée des traitements de données peut pénaliser l’entreprise et dans certains cas peut exposer l’organisme concerné à sanctions. C’est justement pourquoi il est conseillé de recourir au savoir-faire et à l’expérience d’un cabinet de conseil RGPD comme Nouvel Horizon Conseil.
Notre cabinet vous garantit un accompagnement sur-mesure et réalise, étape après étape, la documentation complète des traitements de données réalisés par votre organisme. Notre équipe, composée de consultants RGPD, a accompagné plusieurs entreprises, mais aussi des administrations publiques : mairie, département, région, etc., dans toutes leurs démarches relatives à la mise en conformité au RGPD.
Accoutumés aux procédures et possédant une parfaite connaissance des obligations du règlement et de ses diverses implications, ils veilleront à la mise en application de la méthodologie recommandée pour un résultat fiable. Alors, voulez-vous savoir comment bénéficier de notre appui ? Contactez notre Délégué à la Protection des Données DPO pour soumettre votre projet.