Cartographier les données personnelles, c’est bâtir la fondation d’une gestion conforme et sécurisée au RGPD. Cette cartographie révèle les données manipulées, leurs parcours, leurs finalités et les mesures de protection associées. Elle organise l’écosystème des traitements, garantit la conformité aux exigences du règlement européen, et protège les droits des personnes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Avant d'aller plus loin, c'est quoi, au juste, cartographier ses données ? Cartographier, c’est dresser une carte exhaustive des données personnelles traitées dans votre structure. Cela demande d’identifier chaque donnée : son origine, les flux qu’elle emprunte, les acteurs qui la manipulent, son stockage, et surtout la raison pour laquelle elle est utilisée.
Cette démarche, imposée par l’article 30 du RGPD, concerne toutes les organisations : privées, publiques, petites ou grandes. Elle permet ensuite de construire un registre de traitements fiable, de réaliser des analyses d’impact et de mettre en place une politique efficace de gouvernance des données.
1 - Qui ? - Identifier qui traite les données
Commencez par répondre à une question simple : qui ? Vous devez notamment clairement identifier les prestataires sous-traitants afin d'actualiser les clauses de confidentialité.
Inscrivez dans votre registre le nom et les coordonnées du responsable du traitement. Ajoutez son représentant légal si besoin. Mentionnez le délégué à la protection des données quand votre structure en compte un. Ces informations semblent basiques, mais elles structurent toute votre démarche de conformité.
Identifiez ensuite les responsables des services opérationnels qui manipulent les données au quotidien. Le service RH accède aux données des salariés. Le service commercial gère les informations clients. Le service marketing utilise les données pour ses campagnes. Chaque acteur interne doit apparaître clairement.
Établissez la liste complète de vos sous-traitants. Hébergeur web, prestataire informatique, agence de communication : tous traitent des données personnelles pour votre compte. Les organismes qui traitent des données personnelles pour le compte d'un autre organisme (les sous-traitants) doivent également tenir un registre de leurs activités, rappelle la CNIL.
2 - Quoi ? - Recenser les données collectées
Vient ensuite la question du quoi ? Quelles informations personnelles traversent votre organisation ? Cette étape demande du temps. Elle exige de la précision.
Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions). Ces données sensibles appellent des mesures de protection renforcées.
Listez toutes les catégories : données d'identification (nom, prénom, date de naissance), données de contact (adresse, téléphone, mail), données professionnelles (fonction, entreprise), données financières (relevés bancaires, factures), données de connexion (adresse IP, cookies), données de localisation. La liste peut être longue. Elle doit être exhaustive.
Certaines données passent inaperçues. Un formulaire de contact sur votre site collecte des informations. Votre système de vidéosurveillance enregistre des images. Vos fichiers clients contiennent des historiques d'achat. Recensez tout.
3 - Pourquoi ? - Définir les finalités de chaque traitement
On s'interroge ensuite sur la finalité de cette collecte avec le pourquoi ? Quel est le but de cette collecte de données ? Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).
Chaque traitement doit servir un objectif précis et légitime. Vous gérez la paie de vos salariés ? Vous traitez des données RH. Vous envoyez une newsletter ? Vous menez une action de marketing direct. Vous répondez à une obligation légale ? Vous appliquez une contrainte réglementaire.
La finalité ne peut pas être floue. « Améliorer nos services » ne suffit pas. Soyez spécifique. Décrivez exactement ce que vous faites avec chaque catégorie de données. Cette clarté protège vos pratiques en cas de contrôle.
4 - Où - Tracer les flux et localiser le stockage
Où vont vos données ? D'où viennent-elles ? Vous devrez notamment indiquer les flux en indiquant l'origine et la destination des données, afin notamment d'identifier les éventuels transferts de données hors de l'Union européenne.
Déterminez le lieu où les données sont hébergées. Indiquez quels pays les données sont éventuellement transférées. Un serveur en France offre plus de sécurité juridique qu'un hébergement hors UE. Les transferts vers des pays tiers demandent des garanties supplémentaires.
Documentez le parcours complet d'une donnée : collecte sur le site web, stockage dans votre CRM, transmission à votre prestataire de mailing, archivage sur vos serveurs. Chaque étape compte. Chaque acteur intermédiaire doit apparaître.
Cette traçabilité révèle parfois des surprises. Vous découvrez des flux dont vous ignoriez l'existence. Vous identifiez des transferts non sécurisés. Vous repérez des accès non justifiés.
5 - Combien de temps ? - Fixer les durées de conservation
Combien de temps gardez-vous les données ? Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.
Une donnée ne peut pas être stockée indéfiniment. La durée dépend de la finalité. Les données d'un prospect non converti depuis trois ans n'ont plus de raison de traîner dans vos fichiers. Les bulletins de paie d'un ancien salarié doivent être conservés cinq ans après son départ, pas plus.
Définissez des durées précises pour chaque catégorie. Programmez des suppressions automatiques. Organisez des revues périodiques de vos bases de données. Cette discipline réduit les risques de violation et allège vos systèmes.
Au-delà de la réponse à l'obligation prévue par l'article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD. Il prouve votre bonne foi. Il documente vos efforts. Il structure votre démarche.
Les sanctions en cas de non-conformité
Selon l'Article 83 du RGPD, les amendes peuvent atteindre jusqu'à 10 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 2% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Vous l'aurez compris, la cartographie des données doit devenir le livre de chevet de votre organisation. Elle protège votre organisation. Elle anticipe les problèmes. Elle prépare les audits. Elle facilite les réponses aux demandes d'accès des personnes concernées.
