RGPD épisode 2

Guide RGPD, épisode 2 : La Liste

La première étape de votre conformité RGPD est de disposer de la liste des traitements de données impliquant des données personnelles dans votre entreprise. Nous verrons donc ensemble :

> comment lister vos processus en fonction de votre situation;
> comment mettre en forme cette liste pour disposer d’un registre des traitements en conformité avec le RGPD;
> comment utiliser ce travail pour renforcer votre efficacité et obtenir un retour sur investissement.

JE RÉALISE MA LISTE DE TRAITEMENTS

Point de départ de votre vérification de conformité RGPD, cette liste permettra de déterminer à la fois le niveau de vos obligations (DPO, analyse d’impact, registre des traitements…) mais également de disposer d’une première approche des points d’amélioration à envisager.

Examinons les différents cas de figure possibles :

Cas 1 : Je ne travaille qu’avec des professionnels, ou je travaille avec des particuliers sans collecter de données personnelles (pas de carte de fidélité, de compte ouvert…)

professionnel

Dans ce cas, il est probable que vos traitements liés aux données personnelles se limitent aux traitements de ressources humaines, de paie et à la gestion des contacts chez vos prospects, clients et fournisseurs. Votre liste de traitements pourrait ressembler à celle-ci :

> Processus RH

– recrutement
– gestion des absences
– demandes RH
– préparation de la Paie
– réalisation de la Paie

> Gestion des achats

– administration des achats

> Gestion des ventes

– administration des ventes

Cette liste indicative n’est pas un absolu, par exemple un processus de recrutement digitalisé sur un gros volume de personnes peur relever du traitement de masse

Cas 2 : Je travaille avec des particuliers dont je collecte des données personnelles

je travaille avec des particuliers

A la liste précédente se rajoute l’ensemble des traitements que vous réalisez sur les données personnelles de vos clients. Cette liste vous est spécifique mais classiquement les domaines suivants sont à explorer :

> site de vente en ligne

– gestion des comptes clients
– gestion des ventes et des paiements
– opérations de marketing

> cartes clients

– création de la carte
– opérations de marketing

> gestion technique pour les clients (ex : contrat de maintenance chauffage..)

– création du contrat
– opérations courantes
– communication des données à des partenaires

Cette liste n’est bien sûr pas exhaustive, pour la compléter posez-vous par exemple la question suivante : dans quels processus une adresse mail ou un téléphone mobile de client sont utilisés ?

Cas 3 : Je travaille avec des particuliers dont je collecte des données personnelles sensibles

données sensibles

C’est le cas le plus complexe pour lequel la validation de votre conformité nécessite l’intervention de professionnels tant techniques que juridiques.

 

JE PRÉPARE MON REGISTRE DE TRAITEMENTS

Le registre des traitements est un des composants du règlement RGPD (ci-dessous un extrait de l’article 30).

Une fois votre liste réalisée, une bonne mise en forme vous permettra :

> de disposer du registre des traitements prévu par le règlement
> de bénéficier pour chaque traitement des points de conformité à valider

Votre registre de traitement sera composé :

> D’une liste des traitements qui comportera les informations suivantes :

– les coordonnées de l’entreprise
– les coordonnées du responsable légal
– la liste des traitements intégrant des données personnelles

> D’une fiche par traitement qui sera détaillée comme suit :

– le descriptif du traitement
– les objectifs du traitement
– les catégories de personnes concernées
– les données collectées avec une mention sur des données sensibles
– la durée de conservation
– les destinataires et utilisateurs des données
– la transmission éventuelle des données hors UE
– les mesures prises pour protéger les données

 

Pour vous éviter de créer votre modèle de toute pièce, la CNIL met à la disposition des entreprises un modèle adapté aux TPE et PME, téléchargeable ici : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

Nous étudierons le complément de la fiche de traitement dans les prochains épisodes.

 

JE TRAVAILLE MON EFFICACITÉ

En incitant fortement les entreprises à analyser et à réfléchir aux processus informatisés, le RGPD offre une opportunité de réfléchir plus globalement à la place et la protection des données dans l’entreprise.efficacité

Le RGPD m’oblige à savoir où et comment sont stockées les données personnelles collectées, à les protéger correctement, à alerter mes interlocuteurs en cas de perte ou de vol, à savoir comment elles sont diffusées.

La sécurité de mon activité m’incite à me poser les mêmes questions pour des données non personnelles, mais essentielles à mon activité (les grilles de prix, les nomenclatures de fabrication, les éléments d’approvisionnement)

L’application des processus d’analyse du RGPD aux autres données sensibles de l’entreprise est ainsi un gage de sécurité et de pérennité de votre activité.

Lors de l’épisode 3, nous apprendrons à caractériser vos traitements de données personnelles (leur objectif, leur légitimité, votre responsabilité et les éventuelles normes applicables).

Auteur : François Gervais, gérant du cabinet Vert et Bleu Conseil.

Vous souhaitez en savoir davantage et obtenir toutes nos infos et invitations aux événements dédiés au RGPD ? Cliquez ici

    Partager sur