Etape incontournable pour la mise en conformité avec le Règlement Général sur la Protection des Données (RGPD), une cartographie de l’ensemble des opérations ou ensemble d’opérations appliquées à des données personnelles (à savoir les traitements) permet d’obtenir une vue exhaustive des données personnelles traitées par un responsable de traitement, et ce depuis la collecte des données jusqu’à leur suppression.

Même si la Principauté n’est pas Membre de l’Union européenne, elle est directement impactée par ce texte que ce soit sous l’aspect responsabilité de traitement que sous l’aspect sous-traitance. Une telle démarche de recensement des données semble ainsi nécessaire pour toute entité monégasque désireuse d’assurer la protection des données nominatives qu’elle détient.

Cette fiche a donc pour objectif de guider les responsables de traitement dans la cartographie de leurs traitements ; cartographie comportant 6 éléments clés qui peut être réalisée en utilisant une approche métier ou technique, voire même une combinaison des deux, et qui surtout doit faire face à de nombreux défis.

Qu’est-ce qu’une cartographie ?

La cartographie des traitements de données personnelles consiste à identifier et répertorier tous les traitements au sein d’une entité (entreprise, administration, association, etc). Concrètement, elle permet à chaque responsable de traitement de déterminer, pour chaque traitement, le nom et les coordonnées du responsable du traitement, la finalité (à savoir l’objectif) dudit traitement (relation commerciale, gestion RH…), les catégories de personnes concernées (clients, salariés, candidats), les acteurs, internes ou externes, amenés à gérer ces données, le parcours des flux de données en cas de transferts hors de l'Union européenne, les délais prévus pour l'effacement des données et, enfin, une description des mesures de sécurité techniques et organisationnelles prises pour en assurer la protection.

Bien menée, elle illustre une réalité qui peut être à la fois dense et complexe et sa force est de montrer avec clarté les imbrications et les interdépendances entre les multiples composants du Système d’Information (SI) et ses différentes couches.

Les 6 éléments clés pour réussir sa cartographie

Ces 6 éléments clés s’articulent autour de 6 questions principales.

1 - QUI gère le traitement ?
Il est nécessaire de savoir avant toute chose qui sont les acteurs qui, en interne ou en externe, sont susceptibles de manipuler les données. Ainsi, il convient de noter le nom et les coordonnées du responsable de traitement (et de son représentant légal), d’identifier les responsables des services opérationnels traitant les données au sein de l’entité et d’établir la liste des sous-traitants. Concernant ces derniers, une liste à jour permettra notamment de vérifier et de modifier, si besoin, les clauses de confidentialité contenues dans leurs contrats.

2 - QUELLES données sont collectées ?
La deuxième étape importante de la cartographie est de déterminer quelles sont les données traitées pour chaque acteur. Pour cela il convient d’identifier les différentes catégories de données traitées mais également les données susceptibles de soulever, en raison de leur sensibilité, des risques particuliers, telles que, par exemple, les données relatives à la santé.

3 - POURQUOI ces données sont-elles traitées ?
Une fois ces deux étapes passées, il est nécessaire de déterminer les objectifs poursuivis par ces opérations de traitement de données, à savoir leur finalité ; celle-ci pouvant par exemple être la gestion des ressources humaines, la gestion du contentieux ou bien encore la gestion de la messagerie professionnelle.

4 - Où sont-elles hébergées ?
Une autre étape essentielle est de déterminer les lieux physiques où sont hébergées les données personnelles mais aussi le ou les pays vers le(s)quel(s) ces données peuvent ensuite être transférés. Cette question est particulièrement importante pour les données situées dans le cloud. En effet, ces données peuvent déménager très facilement et il peut alors devenir ardu de suivre leurs transferts successifs.

5 - COMBIEN de temps sont-elles stockées ?
La question de la durée de conservation des données est une autre interrogation essentielle. Pour chaque catégorie de données, il faut donc préciser combien de temps il est nécessaire de les garder. Cela peut être par exemple un mois pour les images de vidéosurveillance ou bien encore jusqu’au règlement amiable d’un litige dans le cadre de la gestion d’un précontentieux.

6 - COMMENT leur sécurité est-elle assurée ?
Enfin, il est indispensable de mettre en lumière les différentes mesures de sécurité qui ont été mises en œuvre pour minimiser les risques d’accès non autorisés aux données, le but étant de limiter le plus possible l’impact sur la vie privée des personnes concernées. Une des premières mesures de sécurité consiste par exemple à mettre en place des mots de passe nominatifs « forts » et régulièrement renouvelés pour accéder aux applications.

Les différentes approches permettant de cartographier les traitements

Deux approches, souvent complémentaires, peuvent être retenues pour réaliser une cartographie et s’assurer que toutes les opérations portant sur des données personnelles ont bien été recensées : une approche métier (qui part de l’individu concerné par le traitement des données), et une approche technique (qui part du processus de gestion des données).

1 - L’approche métier
Cette approche revient à suivre les étapes suivantes :

Ø IDENTIFIER les catégories de personnes physiques qui sont en interaction avec l’entité. Il peut ainsi s’agir des employés, des clients, des  prospects, des utilisateurs, des fournisseurs, etc. ;

 Ø RECENSER, pour chaque catégorie de personnes, la nature des données personnelles collectées par l’entité concernée ;

 Ø SUIVRE les flux de données, à savoir leurs points d’entrée et de transfert ;

 Ø IDENTIFIER les traitements effectués sur ces données.

Exemple : Partons des employés. Pour ces derniers, des catégories de données telles que leurs salaires, leurs situations familiales, leurs avantages sociaux et les motifs de leurs absences peuvent être collectées. Une fois toutes ces catégories de données bien répertoriées, il devient plus aisé de définir quel service au sein de l’entité est responsable par exemple du suivi des performances et quel autre est responsable du suivi des données médicales. A charge alors pour ces services de mettre en place une politique de gestion des données en portant une attention particulière aux données critiques (numéro de compte bancaire par exemple) et de déterminer une stratégie de rétention de ces données.

2 - L’approche technique
Cette approche repose sur la procédure suivante :

Ø DEFINIR les processus internes et externes en interaction avec les personnes concernées ;

Ø RECENSER les systèmes d’information sur lesquels reposent directement ces processus ;

Ø IDENTIFIER les flux et traitements de données personnelles supportés par ces systèmes ;

Ø REMONTER les flux et traitements de données personnelles.

Exemple : Partons cette fois du système physique qui gère les données d’identité. Ces données peuvent provenir du système de recrutement puisque l’employé concerné a été un candidat avant d’être recruté, du système de gestion de la paie ou encore du système de gestion des frais professionnels et de déplacement qui peut contenir des informations sensibles, telles que des numéros de cartes de crédit. Là encore, une fois que tous ces systèmes auront été identifiés, il deviendra plus facile pour l’entité d’avoir une vision complète du cycle de vie des données de ses employés, de leur arrivée au sein de l’entité à leur départ.

La cartographie dans le temps : défis et bonnes pratiques

Au-delà de sa création, une cartographie doit vivre et évoluer dans le temps. Cet inventaire qui se veut exhaustif, doit en effet impérativement être régulièrement tenu à jour afin de devenir le document de référence incontournable permettant à toute entité de s’assurer de sa conformité en matière de protection des données personnelles. Face aux défis d’une matière en perpétuelle évolution, il est donc important pour les entités concernées d’adopter certaines bonnes pratiques.

1 - Une méthodologie d’investigation rigoureuse
Une cartographie incomplète expose l’entité à un risque important de vulnérabilité en matière de protection des données et peut entraîner la mise en place d’actions correctives mal proportionnées (coût de ressources engagées trop élevé par exemple).

Il est donc important de mettre en place une méthodologie d’investigation rigoureuse, notamment lorsque le SI est complexe, par exemple en cas de :

· traitement massif de données (solutions big data) ;

· recours à la virtualisation ;

· multiples périmètres IT ou métier externalisés, notamment via le cloud.

2 - Une cartographie pragmatique et réactive
Comme mentionné précédemment, la cartographie doit représenter à tout instant la réalité du SI, que cette réalité soit celle de l’existant ou bien une projection sur l’avenir (cibles).

3 - Une cartographie en perpétuelle évolution
Trop figée, une cartographie peut vite devenir inutile et coûteuse. C’est donc un chantier permanent qui doit accompagner la vie de l’entité, de manière progressive, en mettant en concordance les visions métier et technique.

4 - Une cartographie compréhensible
La cartographie enfin doit favoriser le dialogue et la compréhension du futur par tous les acteurs concernés. Elle doit donc être compréhensible par tous et expliquer clairement les changements qui pourraient être à réaliser.

En conclusion, une cartographie réussie est un outil qui permet d’identifier aisément tous les traitements (par finalité) contenant les données personnelles qui sont traitées.