Cartographier vos traitements de données personnelles
Recette RGPD Etape 2 : Pesez vos ingrédients
Après un article de préparation qui a servi de mise en bouche, il est temps de rentrer dans le vif du sujet. Il s’agit ici de la première étape que vous devrez réaliser vis-à-vis de vos clients. Cette étape est décisive pour garantir la réussite de cette recette. Votre mission sera donc de tenir une documentation interne, précise au gramme près et actualisée, sur vos traitements de données personnelles ainsi que de vous assurer qu’elles respectent les nouvelles obligations légales. Ce document, appelé registre des traitements, doit pouvoir être consulté à tout moment par la CNIL.
Qu’est-ce qu’une donnée personnelle ?
Bien comprendre la recette, c’est avant tout, en maîtriser la composition. La notion de données personnelles est extrêmement large. Ainsi toute information se rapportant à une personne physique identifiée ou identifiable est considérée comme une donnée personnelle. Mais encore ? Le Règlement précise : une personne est identifiable au sens du droit, dès lors qu’elle peut être identifiée directement ou indirectement par référence à un identifiant (nom, numéro d’identification, donnée de localisation) ou à un ou plusieurs éléments propres à son identité (physique, physiologique, culturelle).
A cela s’ajoute la notion de données sensibles qui sont des informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé* ou à la sexualité des personnes. Si les données relatives aux opinions politiques ou philosophiques et les données biométriques ne sont pas vraiment un sujet dans le secteur des services à la personne, il n’en va pas de même pour le numéro de sécurité sociale. Le NIR est un incontournable. La collecte et le traitement de ce type de données est davantage encadré. Le numéro de sécurité sociale ne saurait ainsi être collecté pour une finalité autre que la gestion de la paie.
Un autre point sensible est l’utilisation de termes interdits ou inappropriés. Un commentaire inapproprié dans le journal client ou une appréciation subjective pour ne pas dire politiquement incorrecte relative à un intervenant, saisis dans le logiciel métier par une personne peu au fait de la réglementation est très vite arrivé. Dans l’ensemble des contrôles dans lesquels Xelya est intervenu en consultation, la CNIL a procédé à une mise en demeure de supprimer des mentions considérées comme injurieuses ou interdites.
Vous préférez prévenir que guérir ? Ximi peut vous accompagner en vous proposant une prestation d’identification de propos interdits ou inappropriés. Contactez pour cela notre service clients 
ou votre interlocuteur habituel.
Mais concrètement, quelle est la démarche à suivre ?
Enfilez vos tabliez chers pâtissiers, il y a du pain sur la planche ! Ainsi pour chaque donnée vous allez devoir vous poser les questions suivantes :
QUI ?
Qui a accès aux données personnelles ? Cela signifie cartographier le nom et les coordonnées de TOUS les acteurs, internes comme externes (sous-traitants), qui ont accès à ces données. En priorité, il va donc falloir nommer un responsable de traitement.
QUOI ?
Quelles données sont collectées et traitées ? Qui concernent-elles ? À ce stade, il s’agit de lister les catégories de personnes dont on collecte les données, et le contenu de ces données (les données sensibles devront être traitées à part).
POURQUOI ?
Pour quoi faire ? Il s’agit d’indiquer les finalités de la collecte de ces données. À titre d’exemple, dans quel but collectez-vous la date de naissance de vos clients.
OÙ ?
Où sont conservées ces données personnelles ? Il faut ici, déterminer les lieux physiques où sont hébergées les données personnelles, à qui et dans quel pays les données sont éventuellement transférées.
JUSQU’À QUAND ?
Il convient ici de préciser pour chaque catégorie de données, combien de temps vous prévoyez de les conserver. Ce délai peut d’ailleurs être donné en valeur relative : par exemple, jusqu’à la fin de la mission. (NB : Pour le moment, ne remplissez pas encore les mentions relatives à la durée de conservation des données, nous vous en reparlerons dans quelques semaines).
COMMENT ?
Quelles sont les mesures de sécurité que vous mettez en œuvre pour limiter les risques d’accès non autorisés à ces données ? A titre d’exemple, l’une des premières mesures de sécurité est de mettre en place des mots de passe pour accéder aux ordinateurs.
Comme vous le constatez, la tenue du registre des traitements est complexe, et il n’est pas évident de s’y retrouver. Pour simplifier vos démarches, nous vous recommandons d’utiliser le modèle de registre proposé par la CNIL** (sur le site de la CNIL, rubrique « Les outils pour vous aider »).
Nous vous proposons un webinar dédié à la cartographie des données, où nous vous aiderons à identifier les traitements à consigner.
Etes-vous prêts ? 3…2…1… Pâtissez !
*Les données de santé sont soumises à une réglementation particulière (HDS).
**Astuce : pour la date de démarrage du traitement, indiquez le 25/05/2018 si le traitement était préexistant à l’entrée en vigueur du règlement.
La recette du RGPD
Vous souhaitez en savoir plus sur le RGPD ? Retrouvez la recette complète du RGPD sur notre page dédiée !
Chacune des étapes décrites ci-dessus s’accompagne d’un article explicatif.
N’en perdez plus une miette en consultant notre site régulièrement !
Inscription Webinars
A chaque étape jusqu’au 25 mai, nous proposons un webinar pour reprendre les points importants et voir des exemples concrets d’application à mettre en pratique dans votre structure de services à la personne.
Astuces du chef !
Attention : toutes nos communications et notre accompagnement ont vocation à vous aider mais ils ne sauraient se substituer aux conseils d’un professionnel sur le sujet. Nous ne garantissons pas que ce que nous communiquons est exhaustif. Suivre nos conseils ne saurait garantir une conformité au RGPD qui relève in fine du responsable du traitement.