CARTOGRAPHIE DES TRAITEMENTS

Le RGPD s'applique à l'ensemble des activités de traitements de données à caractère personnel d'une organisation.  L'exigence de documentation et de traçabilité de la conformité des traitements exige de les recenser de manière méthodique. Les registres permettent par ailleurs de les décrire.

REMPLIR L'OBLIGATION DE RECENSEMENT DES ECOSYSTEMES

Besoin d'aide 

La cartographie doit permettre de couvrir une vision interne et externe en prenant en compte le multicloud.

Le travail de cartographie doit permettre de recenser les supports sur leslequels reposent des données. Il peut s’agir de matériels, de logiciels, de canaux informatiques, de personnes, de supports papier ou de canaux de transmission papier.  registres du RGPD visent à démontrer le respect du règlement européen par le responsable du traitement ou le sous-traitant, et leurs représentants dans l'UE, en consignant des informations obligatoires. Ils s'insèrent dans le cadre des outils de la conformité. Un programme de conformité doit par conséquent consacrer toute son attention au recensement des traitemeents de données.

La cartographie des traitement se caractérise notamment par le travail de constitution et de mise à jour des différents registres qui sont tous assortie d'un volet cartographie afin d'étayer le faisceau d'indices prouvant une structuration de la conformité : 

  • Le registre des activités de traitement 

Ce registre structurant rend visible la cartographie des traitements dans le cadre du du RGPD. Sa constitution  nécessite pour le responsable de traitement et le sous-traitant d'être en mesure de réaliser un regroupement thématique en fonction des activités des traitements, en proposant une vision de l'urbanisation interne ou externe des systèmes d'information  Il s'agit de consigner des éléments descriptifs essentiels reflétant la réalité des supports des traitements et des données. Il s'agit de rechercher une adéquation représentative pouvant permettre en respectant la nomenclature fixée par les textes dans le cas du  registre du responsable des traitements et dans celui du sous-traitant

  • Le registre des violations de données 

Ce registre spécifique répondant à l'obligation de sécurité des traitements soulève inéluctablement la question de la connaissance du périmètre des traitements de données internes et externes de l'entreprise. Il permet de consigner des volets d'information clés liés à l'ensemble des incidents de sécurité survenus dans le giron de l'obligation de notification des violations des données à caractère personnel, dans une logique d'hurbanisation.  

  • Le registre du représentant du responsable de traitement ou sous-traitant situé hors UE

Les responsables de traitements et les sous-traitants situés en dehors de l'Union européenne doivent dans certaines conditions désigner un représentant dans l'UE. Dans un environnement marqué par une expansion du multicloud, cloud public ou privé, ainsi que du Edge compting, nn registre des activités de traitement devra pouvoir donner une vision des traitements au-delà de la seul frontière géographique nationale, pour une activité située dans l'UE et hors de l'UE. Les bouleversement de l'affaire du Privacy Shield, de même que les cas de Discovery, démontrent la sensibilité juridique et la complexité opérationnelle d'une telle démarche.

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des différents registres RGPD qu'il conviendra le cas échéant de présenter à l'autorité de contrôle,

  • Le registre des activités de traitement est en théorie facultatif en fonction de certains seuils, mais il s'impose en réalité pour une bonne gouvernance lorsqu'il s'agit de valider la conformité des traitements

  • L'élaboration du registre des activités de traitement basé sur un recensement précis permet de mesurer concrètement l’impact du règlement européen au regard de l'exigence de protection des données traitées par l'organisme

  • Les registres du RGPD peuvent être contrôlés par la CNIL, leur complétude est donc essentielle   

  • La mise en place de procédures internes doivent permettre de veiller à l'actualisation régulière des registres

  • Les registres du RGPD doivent être initiés dès le début de la feuille de route RGPD

  • La question de la boîte à outils étant posée, il convient d'être en veille sur la question du logiciel RGPD, ce dernier pouvant intégrer une fonctionnalité de gestion des registres.

NOTRE OFFRE D'ACCOMPAGNEMENT :

Compléter votre outillage RGPD

Le programme de conformité RGPD accountability intégre une check-list des actions pour vérifier l'existence d'une feuille de route cohérence.  Il s'agit d'avancer pas à pas. pour maîtriser le risque de non conformité. L'outillage RGPD s'appuie sur plusieurs Quick-win.

Image de Ferdinand Stöhr

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris