CARTOGRAPHIE DES TRAITEMENTS

L'exigence de documentation et de traçabilité de la conformité des traitements exige de s'appuyer sur un recensement méthodique de l'existant.

Image de Sam Moqadam

GRANULARITÉ

Besoin d'aide 

La cartographie doit permettre de couvrir une vision interne et externe.

Le travail de cartographie doit permettre de recenser les supports des donnée (matériels, logiciels, canaux informatiques, papier ...). Il s'agit de s'assurer d'une adéquation du registre des traitement et plus généralement du programme de conformité avec la réalité opérationnelle.

 

Le registre des activités de traitement ​joue un rôle clé dans la réalisation de la cartographie des traitements. Ce registre structurant propose une vision synthétique de la cartographie des traitements en regroupant les thématique d'activités de traitements à partir des processus opérationnels et ceux de l'organisation.  Le travail de cartographie nécessite d'impliquer les acteurs des infrastructures et ceux des métiers.

POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des différents registres RGPD qu'il conviendra le cas échéant de présenter à l'autorité de contrôle,

  • Le registre des activités de traitement est en théorie facultatif en fonction de certains seuils, mais il s'impose en réalité pour une bonne gouvernance lorsqu'il s'agit de valider la conformité des traitements.

  • L'élaboration du registre des activités de traitement basé sur un recensement précis permet de mesurer concrètement l’impact du règlement européen au regard de l'exigence de protection des données traitées par l'organisme.

  • Les registres du RGPD peuvent être contrôlés par la CNIL. Leur complétude est donc essentielle.

  • La mise en place de procédures internes doivent permettre de veiller à l'actualisation régulière des registres.

  • Les registres du RGPD doivent être initiés dès le début de la feuille de route RGPD.

  • La question de la boîte à outils étant posée, il convient d'être en veille sur la question du logiciel RGPD, ce dernier pouvant intégrer une fonctionnalité de gestion des registres.

Image de Ferdinand Stöhr