RGPD épisode 3

Guide RGPD épisode 3 : la liste (suite)

Au cours de l’épisode 2, nous avons listé les traitements relevant des données personnelles dans l’entreprise et commencé à compléter notre registre de traitements.
Nous allons maintenant, sur l’exemple d’un traitement de paie, compléter la fiche du registre de traitement, en nous basant sur le modèle CNIL pour les PME.

JE PRÉCISE L’OBJECTIF DE MON TRAITEMENT

Il s’agit de décrire l’objectif du traitement et ses différentes étapes. Ce travail s’apparente un descriptif de procédure.

Dans notre exemple (traitement de la paie) deux descriptifs sont possibles selon que la paie est réalisée en interne ou sous traitée :

Si la paie est réalisée en interne, le descriptif pourra par exemple être le suivant :

« Le traitement a pour objectif de réaliser chaque mois la paie des salariés et l’ensemble déclarations qui lui sont liés. Les données de paie sont fournies par les responsables de services au responsable de paie qui les saisies dans le logiciel de paie, calcule les bulletins, les édite, les communique aux salariés, effectue les virements de salaires et établis les déclarations de charges sociales ».

Si la paie est sous traitée, le descriptif pourra par exemple être le suivant :

« Le traitement a pour objectif de réaliser chaque mois la paie des salariés et l’ensemble déclarations qui lui sont liés. Les données de paie sont fournies par les responsables de services au cabinet comptable qui les saisies dans le logiciel de paie, calcule les bulletins, et établis les déclarations de charges sociales. Les bulletins et les montant des virements sont communiqués par mail au dirigeant de l’entreprise ».

Cette description permet de définir la position de l’entreprise dans le traitement et les acteurs :

  • Responsable du traitement
  • Co-responsable du traitement
  • Sous-traitant

Dans l’exemple ci-dessus, l’entreprise est responsable du traitement, si la paie est sous traitée, le cabinet est sous-traitant.

Si le cabinet comptable analyse le même traitement, l’entreprise sera alors co-responsable. Cet aspect particulier de la responsabilité des sous-traitants et co-traitants sera examinée dans un prochain épisode.

QUELS SONT LES TYPES DE PERSONNES CONCERNÉS PAR LE TRAITEMENT ?

Précisez si le traitement concerne les données de prospects, de clients, de salariés, d’usagers.

Dans notre exemple (Réalisation de la paie) ce sont les données des salariés qui sont concernées.

QUELS SONT LES TYPES DE DONNÉES CONCERNÉS PAR LE TRAITEMENT ?

Il est nécessaire de lister les données concernées par le traitement, en distinguant de façon particulière les données sensibles.

La CNIL donne la définition des données sensibles :

La collecte de certaines données, particulièrement sensibles, est strictement encadrée par le RGPD et requiert une vigilance particulière. Il s’agit des données révélant l’origine prétendument raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale des personnes, des données génétiques et biométriques, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle des personnes, des données relatives aux condamnations pénales ou aux infractions, ainsi que du numéro d’identification national unique (NIR ou numéro de sécurité sociale).

Vous détaillerez les données traitées en vous aidant du classement suivant :

  • État-civil, identité, données d’identification, images (ex. nom, prénom, adresse, photographie, date et lieu de naissance, etc.)
  • Vie personnelle (ex. habitudes de vie, situation familiale, etc.)
  • Vie professionnelle (ex. CV, situation professionnelle, scolarité, formation, distinctions, diplômes, etc.)
  • Informations d’ordre économique et financier (ex. revenus, situation financière, données bancaires, etc.)
  • Données de connexion (ex. adresses Ip, logs, identifiants des terminaux, identifiants de connexion, informations d’horodatage, etc.)
  • Données de localisation (ex. déplacements, données GPS, GSM, …)
  • Internet (ex. cookies, traceurs, données de navigation, mesures d’audience, …)
  • Autres catégories de données (précisez)

Puis vous listerez les données traitées.

Dans notre exemple le n° de sécurité sociale du salarié est donc considéré comme sensible.

QUELLE EST LA DURÉE DE CONSERVATION DES DONNÉES ?

La durée de conservation des données est un des éléments essentiels du RGPD. Précisez la durée de conservation des données et sa justification éventuelle (dans notre exemple les données détaillées de paie sont à conserver pour d’éventuels contrôles).

Cette information sur la durée de détention des données fait partie des éléments à communiquer aux personnes qui vous confient leurs données.

QUELS SONT LES DESTINATAIRES DES DONNÉES ?

Destinataires internes
Précisez les personnes internes destinataires des données, dans notre exemple les responsables de service et la responsable de paie.
Destinataires externes
Précisez les personnes externes à l’entreprise destinataires de données (reporting vers une maison mère par exemple).
Sous-Traitants
Dans notre exemple 2, le cabinet comptable est un sous-traitant, ainsi que votre fournisseur d’accès, et l’entreprise hébergent votre messagerie (envoi des éléments par mail).

LES DONNÉES SONT ELLES HORS UE ?

Les données personnelles que vous traitez sont elles hébergées en dehors de l’union Européenne ?

Une bonne occasion pour regarder vos contrats, et la localisation des données que vous confiez au cloud (personnelles ou non).

QUELLES ONT LES MESURES DE SÉCURITÉ ?

Vos données sont-elles bien protégées ? Nous traiterons ce sujet en détail lors de l’épisode 6

Lors de l’épisode 4, nous analyserons la collecte des données. A la semaine prochaine !

 

Auteur : François Gervais, Vert & Bleu Conseil.

 

Ce sujet vous intéresse ? Inscrivez-vous à notre liste de diffusion RGPD, et réservez dès à présent votre matinée du 23 mai prochain ! Plus d’infos très bientôt…

    Partager sur