Nous y voilà, aujourd’hui nous passons aux exercices pratiques et allons voir comment établir vos cartographies de traitement de données personnelles. Ces cartographies sont indispensables, parce qu’elles vous permettent de faire le point sur vos traitements de données, et aussi parce qu’en cas de contrôle, c’est principalement elles qui prouveront que vous êtes conforme à la règlementation.
Si vous êtes contrôlé et n’avez pas réalisé vos cartographies, vous serez sanctionné !
Qu’est-ce qu’une cartographie de données personnelles ?
La cartographie est un document interne assez simple dans lequel vous allez décrire le traitement qui est fait des données personnelles. Comme évoqué dans cet article, vous devez réaliser une cartographie pour chaque flux de données personnelles de votre organisation. Il est donc nécessaire de commencer par identifier les traitements chez vous qui utilisent des données personnelles (facturation, paie, e-commerce, newsletter, abonnement au blog…).
Sachant qu’il faudra ensuite réaliser une cartographie pour chacun d’eux.
Comment réaliser une cartographie des données personnelles ?
Alors pour faire simple, je vous propose une explication par l’exemple (et j’en profite pour faire une des miennes). Prenons le flux de traitement de données liées à l’inscription au blog de ce site. J’ouvre donc un tableau à deux colonnes, et je me lance :
| Intitulé de la cartographie | Abonnement au blog comunentrepreneur |
| Responsable du traitement | Moi (Laurent Po avec mes coordonnées) |
| Qui a accès à ces données | Moi uniquement |
| Liste des sous-traitants | Nom du prestataire qui gère le service d’abonnement au blog |
| Quelles données personnelles sont collectées | L’adresse mail et le prénom (le mail est indispensable pour envoyer un mail, et le prénom pour la personnalisation des messages envoyés : toute info collectée est utile, sinon elle doit être supprimée de la collecte) |
| Identification des données sensibles | Aucune (pas d’info de santé, d’affinité religieuse ou politique…) |
| A quoi servent ces données | A envoyer les articles publiés sur le blog (un fichier de données qui n’a pas d’utilité concrète doit être supprimé) |
| Provenance des données | Formulaire d’abonnement sur le site comunentrepreneur.fr |
| Où les données sont hébergées | Aux Etats-Unis, chez la société qui gère le service d’abonnement au blog |
| Jusqu’à quand | 3 ans maximum si inactif (c’est la durée maximale car c’est assimilé à de la prospection, cela veut dire que si quelqu’un s’est abonné au blog et qu’il ne clique dans aucun des mails envoyés pendant 3 ans, il sera considéré comme inactif et sera supprimé). A noter qu’une durée doit obligatoirement être précisée ; les données ne peuvent être conservées pour une durée indéterminée. |
| Quelles mesures de sécurité sont mises en œuvre pour protéger les données des personnes | • Les données ne sont pas rapatriées, et restent uniquement présentes dans la base de la société qui gère le service d’abonnement • Cette société est conforme au RGPD et garantit la sécurité des données qu’elle héberge |
| Quelle mesure est mise en place pour respecter le droit des personnes | • Lien de modification et de désinscription au bas de chaque mail envoyé • Mise en place d’une adresse mail spécifique pour les réclamations liées aux données personnelles, pour modification, transfert ou suppression manuelle rapide sur demande |
Et voilà, première cartographie réalisée
Document enregistré et archivé, il n’y a plus qu’à penser à le mettre à jour si quelque chose vient à changer.
J’ai pris le temps de vérifier que la société qui gère mon service d’abonnement au blog est nickel en ce qui concerne la gestion des données personnelles. Il me reste à créer une adresse mail spécifique pour les demandes liés à la gestion des données, ce n’est pas obligatoire mais ça va dans le sens de mon engagement. Et à mettre en place une automation sur ma liste d’abonnés, afin qu’un abonné n’ayant pas cliqué dans un mail depuis 3 ans soit automatiquement supprimé. D’ailleurs, je vais probablement raccourcir ce délai.
Bref, je mets ça dans ma todo, ce sera fait dans la semaine.
Abonnez-vous !
pour être informé des prochaines publications du blog
Ce formulaire est conforme au RGPD, en savoir plus
Il ne vous reste plus qu’à recommencer pour chaque traitement de données
Pour ma part, je poursuis avec ma gestion commerciale, qui contient les données personnelles de mes clients, nécessaires pour ma facturation, transmises à mon cabinet comptable, stockées uniquement sur un de mes ordis et mon backup, conservées sur 10 ans (délai légal oblige)…
Je vous laisse faire le tour de vos traitements et réaliser vos cartographies.
Je vais de mon coté commencer à préparer le prochain article qui abordera les derniers éléments à mettre en place pour être conforme. Sachant encore une fois que les cartographies seront indispensables, et l’élément principal qu’il reste à aborder est de remplir votre obligation d’information.
Passer à l’article suivant : TPE/PME : vous mettre en conformité avec le RGPD en 5 étapes
