La cartographie des traitements

Le

La CNIL recommande aux organismes de suivre plusieurs étapes pour garantir la conformité au RGPD dans le traitement des données. Il est important de déterminer qui est responsable du traitement des données, quelles données sont collectées et pourquoi, où elles sont stockées et transférées, jusqu’à quand elles sont conservées, et comment elles sont protégées. Ces informations doivent être prises en compte pour garantir une collecte et un stockage sécurisé des données personnelles.

  1. Une cartographie se réalise en 5 étapes :Afin d’identifier les changements à apporter (désignation d’un DPO, études d’impact, modification des mentions d’information, des procédures internes et des mesures de sécurité à mettre en place, etc.), une cartographie des traitements de données personnelles réalisée lors d’un audit peut être nécessaire.
    Les 5 étapes

    La présente fiche a pour objet de présenter la méthodologie afin de réaliser la cartographie et de préparer la mise en conformité avec le RGPD.

    Pourquoi effectuer une cartographie des traitements ?

    Une cartographie est un recensement des traitements existants au sein d’une entreprise et permet à cette dernière de mesurer son degré d’avancement au regard des obligations en matière de données personnelles et d’identifier les écarts afin d’être conforme au RGPD (« gap analysis* »).

  2. L’établissement du rapport «gap analysis*»

    Une fois les réponses aux questionnaires obtenues ou interviews réalisés, il convient de les étudier et de les compiler pour faire le bilan de l’existant.
    Ce rapport sera également l’occasion d’analyser la conformité de chaque traitement effectué par l’entreprise, en identifiant les points d’amélioration.

Comment cartographier ses traitements

Pour cartographier les traitements dans le cadre d’une mise en conformité avec le RGPD, il faut d’abord identifier l’ensemble des traitements de données personnelles effectués par l’entreprise. Cela peut être réalisé en interrogeant les différents services et en établissant une liste exhaustive des traitements de données personnelles. Ensuite, il convient de déterminer les finalités pour lesquelles ces données sont collectées et traitées, les personnes concernées, les catégories de données collectées et les destinataires de ces données.

Il est également important de déterminer les durées de conservation des données, les mesures de sécurité mises en place pour protéger ces données et les éventuels transferts de données vers des pays tiers. Toutes ces informations doivent être consignées dans un document unique appelé « cartographie des traitements », qui constitue un outil essentiel pour la mise en conformité avec le RGPD. Ce document doit être mis à jour régulièrement et être accessible à tous les employés de l’entreprise.

Une cartographie de traitements de données est un document qui permet de visualiser l’ensemble des traitements de données à caractère personnel effectués par une organisation. Elle permet de comprendre comment ces données sont collectées, utilisées, traitées et protégées au sein de l’organisation.

Voici un exemple de cartographie de traitements de données :

  1. Collecte de données : cette étape consiste à recueillir les données à caractère personnel des clients, employés, fournisseurs, etc. Ces données peuvent être collectées de différentes manières, par exemple via des formulaires en ligne, des questionnaires, des entretiens, etc.
  2. Stockage de données : une fois collectées, les données sont généralement stockées dans un système informatique sécurisé, comme un serveur ou un cloud.
  3. Traitement de données : cette étape consiste à utiliser les données de différentes manières, par exemple pour réaliser des analyses, des études de marché, des campagnes de marketing, etc.
  4. Communication de données : dans certains cas, il peut être nécessaire de communiquer les données à caractère personnel à des tiers, comme des partenaires commerciaux ou des autorités publiques.
  5. Suppression de données : enfin, il est important de prévoir un processus pour supprimer les données à caractère personnel qui ne sont plus nécessaires ou qui ne sont plus utilisées.

Il est important de noter que cet exemple est très simplifié et que la cartographie de traitements de données peut être beaucoup plus complexe en fonction de l’organisation et de ses activités. Elle doit être mise à jour régulièrement pour refléter les changements dans les traitements de données à caractère personnel de l’organisation.

Une obligation pour la conformité

Le processus de mise en conformité au RGPD implique la réalisation d’une cartographie des données personnelles collectées et traitées par l’organisme. Cette cartographie permet de recenser les sources de données personnelles, d’identifier les acteurs impliqués dans le traitement des données, de catégoriser la nature des données et d’évaluer les risques de mise en danger de la vie privée. La cartographie est un support essentiel pour assurer la protection des données, en particulier les données sensibles, et pour mettre en place un cadre adapté pour leur traitement.

DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Une faille majeure révèle les données de millions d’internautes : comprendre l’impact et les enjeux

Faille majeure révèle les données de millions d'internautes :...

La toile du renseignement français : entre premier et second cercle

Le renseignement français : Dans l'arène de la sécurité...

Écoutes, géolocalisations : une surveillance accrue en réponse aux menaces diversifiées en France

Écoutes, géolocalisations : Les récentes statistiques en France montrent...