Comment faire la cartographie des traitements de données à caractère personnel de mon entreprise ?
|

Comment faire la cartographie des traitements de données à caractère personnel de mon entreprise ?

Fiche pratique : cartographie des traitements de données

Après la désignation du responsable de la mise en conformité de votre entreprise et celle des personnes impliquées dans le processus de décision, votre mise en conformité débute par un audit RGPD. Vous commencerez cet audit par la cartographie de vos traitements de données personnelles. Bien maîtriser la méthodologie de cette étape est important pour la suite de votre projet de mise en conformité RGPD, car si cette cartographie est menée avec soin, elle vous permettra :

  • De comprendre les flux de données dans votre entreprise
  • De constituer la documentation légale obligatoire (registre des traitements, clauses contractuelles, demande de consentement, exercice des droits…)
  • De prioriser votre plan de mise en conformité et piloter sa mise en œuvre

Mais concrètement, comment faire la cartographie des traitements de données à caractère personnel de mon entreprise ?

1. Qu’est-ce qu’une cartographie des traitements de données ?

La mission de cartographie de vos traitements de données personnelles consiste à recenser de façon précise les traitements de données personnelles que vous mettez en œuvre.

Un traitement de données personnelles est définit par le Règlement général sur la protection des données[1] (RGPD) comme une opération portant sur des données personnelles, quel que soit le procédé utilisé, par exemple : collecter le nom et le mail d’un client, conserver les échanges entre votre entreprise et un client, modifier les données de la base client, ou tout simplement consulter vos données RH. Il faut savoir qu’un traitement de données personnelles n’est pas nécessairement informatisé, les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.

Une cartographie des traitements de données doit permettre de recenser et de visualiser les différents flux de données (collecte, lieux de conservation, transmission, suppression…).

2. Par où commencer ?

Il faut définir avec l’ensemble des parties prenantes tous les éléments nécessaires à l’initialisation et au bon déroulement du projet de cartographie.

L’objectif et l’enjeu de ce projet est de constituer une documentation interne complète des traitements de données personnelles et s’assurer de leur conformité aux obligations légales. Pour cela, un membre de la direction de l’organisation, le responsable de la sécurité des systèmes d’information (RSSI) et le directeur des systèmes d’information doivent être moteurs de cette mission, ils joueront le rôle de « sponsor ».

Il est indispensable de formaliser le périmètre à cartographier pour s’assurer que toutes les parties prenantes partagent la même vision puis vous devrez définir la cartographie cible.

Dans le cas d’une cartographie de vos traitements de données personnelles, le périmètre à cartographier doit comprendre :

  • Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’actualiser par la suite les clauses de confidentialité ;
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

La cartographie que vous ciblez doit permettre différentes vues sur les différents traitements de données personnelles, les catégories de données personnelles traitées ainsi que les objectifs poursuivis par les opérations de traitements de données.

3. Quel modèle de cartographie des traitements de vos données choisir ?

Il faut dans un premier temps rassembler et analyser les éléments de cartographie existants. En pratique, vous devez :

  • Recueillir et analyser l’ensemble des documents relatifs à la protection des données, aux éventuelles normes spécifiques, l’inventaire des ressources et des actifs.
  • Identifier les outils de cartographie déjà en place ;
  • Identifier les processus existants concernant l’alimentation et la mise à jour des données personnelles.
  • Identifier les difficultés rencontrées dans la constitution et l’utilisation des cartographie précédentes.

Ensuite, vous définirez le modèle de cartographie décrivant l’ensemble des entités ou systèmes qui gravitent autour des traitements de données et ainsi disposer d’une vision claire de l’écosystème sans se limiter à l’étude individuelle de chaque entité.

4. Quels outils de cartographie des traitements des données choisir ?

Le choix d’outils dépend du niveau de maturité visé et du contexte mais ils doivent à minima satisfaire les besoins suivants :

  • Constituer l’inventaire des traitements, des données et des finalités de traitement (registre des traitements) ;
  • Réaliser des vues et représenter les liens entre elles ;
  • Mettre en œuvre et contrôler le processus de maintien à jour de la cartographie.

Les outils de modélisation du système d’information et des vues spécifiquement construite pour rendre compte des traitements des données permettent, en plus de la réalisation de schémas et d’inventaires, de simplifier les actions de mise à jour et de partage des informations. Pour ces raisons, utiliser des logiciels dédiés à la cartographie est souvent plus commode et efficace. Néanmoins, pour les entreprises qui n’ont pas une grande maturité sur ces sujets, vous pouvez utiliser le modèle de registre simplifié de la CNIL et réaliser manuellement des schémas du système d’information et des vues des flux entrants et sortants de votre entreprise.

5. Comment construire une cartographie des traitements des données ?

Commencez par réaliser l’inventaire du système d’information et des traitements des données. Dans le cas où vous réalisez ce projet de cartographie pour une entreprise qui dispose déjà de documents, l’objectif est de compléter l’inventaire et les différentes vues de manière incrémentale (enrichissement par de nouvelles vues) et itérative (affinement des vues déjà constituées).

Pour les entreprises qui n’en disposeraient pas, il vous faudra les créer sur la base :

  • Des entretiens ciblés ;
  • Des outils de collecte automatique tels que les outils de gestion de parc ou les logiciels de supervision ;
  • Des données extraites depuis des applications spécifiques (base de données, tableaux de bord, etc.) ;
  • Des documents internes liés à la protection des données, à la collecte, au traitement, au stockage et à la suppression des données.

Vous aurez franchi cette étape si :

  • Vous avez rencontré les services et les entités qui traitent des données personnelles ;
  • Vous avez établi la liste des traitements par finalité principale (et non par outil ou applicatif utilisé) et les types de données traitées ;
  • Vous avez identifié les sous-traitants qui interviennent sur chaque traitement ;
  • Vous savez à qui et où les données sont transmises ;
  • Vous savez où sont stockées vos données ;
  • Vous savez combien de temps ces données sont conservées.

Une fois l’inventaire terminé vous construirez les vues de cartographie. Sachez qu’en pratique, vous pouvez réaliser ces travaux en parallèle.

Que les vues soient générées par un outil dédié ou manuellement, elles devront comporter un titre, un numéro de version et une légende.

Il est important de considérer chaque schéma comme un extrait à un instant T et non comme définitif ou final. La cartographie doit s’inscrire dans une démarche d’amélioration continue à la fois incrémentale et itérative.

6. Et après ?

Une fois cette cartographie terminée vous disposez de l’ensemble des informations nécessaires pour construire ou compléter votre registre des traitements. Puis sur la base du registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.


[1] Article 4 du RGPD

A lire également