RGPD : comment réaliser une cartographie des données à caractère personnel ?

Données personnelles 5352 Vues

Depuis l'entrée en vigueur du RGPD, le traitement de données à caractère personnel est conditionné à la mise en place de mesures de sécurité afin de les protéger. L’établissement d’une cartographie des données à caractère personnel apparaît comme la solution pour faciliter leur gestion et garantir leur protection.
RGPD : comment réaliser une cartographie des données à caractère personnel ?

Les données à caractère personnel

Depuis son entrée en vigueur en 2018, le Règlement Général sur la Protection des Données (RGPD) est sur le devant de la scène. Il a remplacé une directive du 24 octobre 1995 qui a permis d’harmoniser les législations en la matière au sein des États membres de l’Union européenne. Cette harmonisation était toutefois partielle et à l’origine d’une certaine insécurité au niveau juridique.

Le RGPD a mis en place de nouvelles obligations incombant aux organismes public et privés, relatives à la sécurisation et à l’usage des données personnelles. Il est aujourd’hui essentiel d’être en conformité avec celui-ci, sous peine de lourdes sanctions.

Pour assurer cette mise en conformité, un organisme doit savoir précisément de quelles données il dispose et identifier celles exploitées.

De plus, face à la multiplication des sources de données et la complexification du paysage dans lequel elles circulent, le traçage du parcours d’une donnée s’est fortement complexifié. C'est pourquoi il est important de dresser une cartographie des données à caractère personnel.

La cartographie des données à caractère personnel

Aujourd’hui, tous les organismes traitant ou collectant des données personnelles sont tenus de respecter le RGPD. Dans le cadre de leur plan d'action pour se mettre en conformité avec ce règlement, la tenue d’une documentation complète sur leurs traitements de données personnelles est devenue impérative. 

Bon Ă  savoir :

La CNIL définit le traitement de données à caractère personnel comme : une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé.

L’article 30 du RGPD impose la création d’un registre des activités de traitement, essentiel à la conformité au règlement. C’est le premier document demandé par la Commission nationale de l'informatique et des libertés (CNIL) lorsqu’elle procède à un contrôle. Cette obligation concerne tous les organismes, publics comme privés, quelle que soit leur taille, dès qu’ils traitent ce type de données.

La mise en œuvre d’une cartographie des données à caractère personnel permet d’établir ce registre. La Commission nationale de l'informatique et des libertés est venue préciser les différentes informations que la cartographie va venir recenser :

  • Les traitements de donnĂ©es personnelles ;
  • Les catĂ©gories de donnĂ©es personnelles traitĂ©es ;
  • Les objectifs poursuivis par les opĂ©rations de traitements ;
  • Les acteurs (internes ou externes) qui traitent ces donnĂ©es ;
  • Les prestataires sous-traitants afin d’actualiser les clauses de confidentialitĂ© ;
  • Les flux en indiquant l’origine et la destination des donnĂ©es ;

La cartographie des données va offrir une vue exhaustive en recensant précisément les données collectées et l’ensemble des traitements mis en œuvre au sein de l’organisme analysé.

En plus de la démarche strictement administrative, la cartographie permet également de s’assurer de la conformité du traitement des informations personnelles, le cas échant, d’identifier les non-conformités, les risques et les mesures correctrices.

Quels sont les objectifs d'une cartographie des données personnelles ?

En donnant une vision à 360 degrés de ces données à un organisme, elle va harmoniser l’information disponible et va faciliter son utilisation. Les collaborateurs disposeront d’une meilleure accessibilité et compréhension des données traitées.

Attention :

Une cartographie de données personnelles qui serait erronée ou bien incomplète peut conduire à la violation du RGPD et donc à la condamnation de l’organisme à l’origine de cette violation à diverses sanctions qui sont généralement lourdes.

Le traitement des données à caractère personnel

Afin d’accompagner les organismes dans leur mise en conformité, la Commission nationale de l'informatique et des libertés a publié une liste de questions qu’il est essentiel de se poser au préalable :

  1. Qui traite les données ?

    Identifier le responsable du traitement, le délégué à la protection des données, les responsables des services traitant les données au sein de l’organisme et les sous-traitants.

  2. Quelles données sont traitées ?

    Identifier la nature des données collectées et celles sensibles.

  3. Pourquoi ces données sont traitées ?

    Indiquer la finalité du traitement des données.

  4. Où sont ces données ?

    Désigner le lieu d’hébergement des données et les états où elles sont transférées.

  5. Pendant combien de temps ?

    Indiquer la durée de conservation de chaque catégorie de données.

  6. Comment ces données sont protégées ?

    Indiquer les mesures de sécurité prises pour les protéger.

Une fois la cartographie des données à caractère personnel réalisée, l’organisme dispose de toutes les informations nécessaires pour établir ou compléter son registre des activités de traitement. C’est le tout premier levier à actionner avant de démarrer un projet de conformité au RGPD.

Image de AnaĂŻs ROBIN

Juriste, titulaire d'un Master 2 Droit de la coopération économique et des affaires internationales à l'université de Hanoï, Vietnam et d'un Master 1 Droit privé international et comparé à l'université de Turin, Italie.

Suivez-nous sur Linkedin
Obtenez un devis en 24 heures par nos avocats
Prestation demandée :
Pays ou organisation :
Type de contrat :
Votre besoin :
Votre besoin :
Votre besoin :
Vos informations :

* : champs obligatoires

Lectures en lien
un batiment Ă  l'architecture moderne
Modalités et conditions de revente d'un fichier de clients via internet
Donnees personnelles 14950 Vues

La revente (cession) de fichiers clients est soumise à une législation stricte, son non-respect est sanctionné par une peine pouvant aller jusqu'à 5 ans de prison et 300 000 euros d'amende. Découvrez quelles sont les modalités et conditions de revente d'un fichier de clients via internet.

poteau sur lequel il est Ă©crit "big data is watching you"
Le RGPD, un outil de protection des données personnelles
Donnees personnelles 4532 Vues

Depuis son entrée le vigueur le 25 mai 2018, le règlement général sur la protection des données, autrement appelé RGPD, a considérablement changé la façon dont les administrateurs de sites internet traitent les données collectées auprès de leurs clients.

application google sur smartphone
Google Ads (AdWords) et protection des données personnelles
Donnees personnelles 4569 Vues

La publicité sur internet permet de présenter des produits à des consommateurs intéressés, elle est en cela plus efficace que la publicité traditionnelle. Toutefois, Google Ads se montre vigilant et les annonceurs doivent donc veiller au respect des règles de confidentialité.

un batiment Ă  l'architecture moderne
Hébergement et stockage de données médicales sensibles
Donnees personnelles 7759 Vues

Que désigne l'expression "données sensibles" ? Quelles sont les conditions de stockage et d’hébergement des données médicales, données dites sensibles ? Quels sont les hébergeurs agréés ?

un graphique sur un Ă©cran d'ordinateur
Statut d'hébergeur/éditeur : conservation des données personnelles
Donnees personnelles 4619 Vues

Quelles sont les obligations d'un éditeur, ou hébergeur, d'un site internet concernant la conservation des données personnelles de leurs utilisateurs et visiteurs ? Apport du décret du décret n° 2011-219 du 25 février 2011.

un Ă©cran d'ordinateur montrant le site Facebook
RGPD : le registre des activités de traitement de données personnelles
Donnees personnelles 7252 Vues

Le Règlement Général sur la Protection des Données, dit RGPD, a été voté en 2016 et est entré en vigueur le 25 mai 2018. De ce règlement découle un certain nombre d'obligations qui pèsent sur le responsable de traitement, notamment la tenue d'un registre des activités de traitement de données à caractère personnel.

un graphique sur un Ă©cran d'ordinateur
Désignation d'un délégué à la protection des données (DPO)
Donnees personnelles 5787 Vues

Le délégué à la protection des données, "Data Protection Officer" (DPO) en anglais, a été instauré par le RGPD, entré en vigueur le 25 mai 2018. Le DPO jouit d'une grande indépendance dans l'exercice de ses fonctions et doit veiller au bon respect du RGPD dans l'entreprise.

une personne tapant au clavier de son pc portable
L'identification d'une personne à partir d’une adresse IP
Donnees personnelles 35798 Vues

L’identification d’une personne sur un site internet à partir de son adresse IP fait partie des problématiques relatives aux droits des internautes, que la loi puis les tribunaux encadrent et contrôlent. Plus précisément, est concernée l’épineuse question de la collecte et du traitement des données à caractère personnel.

une personne consultant des statistiques
Comment réussir sa mise en conformité au RGPD ?
Donnees personnelles 5393 Vues

Qu'est-ce que le RGPD ? Comment se mettre en conformité ? Quelles nouvelles obligations découlent du RGPD pour les sites internet ? Le RGPD, entré en vigueur le 25 mai 2018, consacre de nouveaux droits protecteurs au profit des internautes et impose de nouvelles obligations aux responsables de traitement.

des rangées de caméras accrochées à un mur
RGPD : l'indispensable politique de confidentialité
Donnees personnelles 8224 Vues

Depuis l'entrée en vigueur du RGPD, le 25 mai 2018, les déclarations auprès de la CNIL n'existent plus. La responsabilité du responsable de traitement s'en trouvant accrue, il est indispensable pour les organismes de se munir d'une politique de confidentialité.

photo en noir et blanc de quelqu'un tapant au clavier de son MacBook
Données à caractère personnel : conservation et suppression
Donnees personnelles 10590 Vues

La question de la conservation et de la suppression des données personnelles est épineuse. En effet, une durée de conservation doit obligatoirement être établie. Combien de temps peuvent-elles être conservées ? Peut-on demander leur suppression ? Quelles sont les sanctions en cas de non-respect de ce principe ?

une caméra sur un mur
Le RGPD et son applicabilité dans les États membres de l’Union Européenne
Donnees personnelles 4369 Vues

Vous avez sûrement entendu parler du Règlement Général sur la Protection des Données, dit RGPD. Entré en vigueur en 2018, il a révolutionné le traitement des données personnelles au niveau européen. Comment s’applique-t-il ? Quelle est sa portée ? Nous y répondons dans cet article.

des personnes vues d'en haut en train de marcher sur un passage piéton
RGPD : L'anonymisation des données personnelles
Donnees personnelles 11277 Vues

L’entrée en vigueur du Règlement général sur la protection des données et les réglementations existantes en la matière ont soulevé de nombreuses questions quant au traitement des données personnelles. Il existe aujourd’hui différentes méthodes pour les protéger, notamment celle de l’anonymisation des données.

photo prise du ciel d'un continent pendant la nuit
Audit de conformité au RGPD : gage de respect du règlement
Donnees personnelles 4345 Vues

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données, dit RGPD, de nombreuses structures s’inquiètent de ne pas répondre à ses exigences. L’audit de conformité au RGPD apparaît être l’outil idéal pour être sûr de s’y conformer. Pourquoi faire un tel audit ? Quelles sont les principales étapes ?

une personne utilisant un ordinateur portable
Étapes d'une mise en conformité au RGPD
Donnees personnelles 3367 Vues

Depuis l’entrée en vigueur en 2018 du Règlement général sur la protection des données, communément appelé RGPD, la mise en conformité au règlement est devenue un enjeu majeur pour les organismes concernés. C’est un processus qui passe par plusieurs étapes, que nous vous présentons ci-dessous.