- RGPD Article 30: les organisations doivent tenir un registre des activités de traitement (RAP) — essentiellement une carte de données
- Une carte de données documents: quelles données vous conservez, où, pourquoi, qui peut y accéder, combien de temps vous la conservez
- Commencez d'abord par vos données à risque élevé (données client, données de santé, dossiers financiers)
- Il s'agit d'un document vivant — mettre à jour chaque fois que les systèmes ou les processus changent
La cartographie des données personnelles, également appelée inventaire des données ou cartographie des flux de données, est le processus d'identification systématique de toutes les données personnelles de votre organisation: ce qu'elle est, où elle vit, comment elle circule, qui y a accès et combien de temps vous la conservez. En vertu de l'article 30 du RGPD, la plupart des organisations sont tenues de le documenter dans un registre des activités de traitement.
Au-delà de la conformité, une carte des données est utile sur le plan opérationnel. Lorsqu'une violation de données se produit, vous devez savoir exactement quelles données sont affectées. Quand un DSAR arrive, vous devez savoir où chercher. Lorsque vous déployez un nouveau système, vous devez savoir quelles données il touchera. Un inventaire des données à jour répond rapidement à toutes ces questions.
Voie d'achat HubSecure connexe
Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Ce que votre carte de données doit capturer
Au minimum, votre RPA en vertu de l'article 30 doit comprendre :
- Nom et coordonnées du responsable du traitement (et, le cas échéant, DPD)
- Objets de chaque activité de transformation
- Catégories de personnes concernées (clients, salariés, perspectives, etc.)
- Catégories de données personnelles (noms, coordonnées, données financières, données sanitaires, etc.)
- Catégories de destinataires (qui reçoivent ou accèdent aux données)
- Transferts vers des pays tiers (hors EEE) et garanties appliquées
- Périodes de conservation ou critères de suppression
- Description des mesures de sécurité (au niveau général)
Comment construire votre carte de données
Étape 1: Identifier vos activités de traitement
Commencez par énumérer toutes les choses que vous faites avec les données personnelles. Dans le cas d'une entreprise de services professionnels, cela comprend généralement : le client à bord et KYC, la prestation de services et la gestion des matières, la facturation et la facturation, les communications de marketing, les RH et la paie, la gestion des fournisseurs, la gestion de l'accès aux TI, la vidéosurveillance.
Étape 2: Entretien avec les propriétaires de données
Pour chaque département ou fonction, parlez aux personnes qui utilisent réellement les données au jour le jour. Ils savent quels systèmes ils utilisent, quelles informations ils recueillent et avec qui ils les partagent. Les équipes des TI, des RH, des finances, de la conformité et des clients doivent toutes être incluses.
Étape 3: Identifier tous les systèmes
Énumérez chaque application, système ou emplacement de stockage qui contient des données personnelles. Inclure :
- CRM et systèmes de gestion des cas
- Plateformes de messagerie
- Gestion de documents et stockage en nuage
- Systèmes de gestion des ressources humaines et de la paie
- Plateformes comptables
- Outils d'automatisation du marketing
- Plates-formes de vidéoconférence (s'ils stockent des enregistrements)
- Dossiers et dossiers papier
- Systèmes de sauvegarde
Étape 4: Flux de données cartographiques
Pour chaque activité de traitement, tracez le flux de données : d'où vient-il, ce qui lui arrive, où va-t-il, qui a accès à chaque étape. Cela révèle des processeurs tiers, des transferts internationaux et des lacunes dans le contrôle d'accès qui pourraient ne pas être évidentes dans les seules listes de systèmes.
Étape 5: Attribuer une base légale et des périodes de conservation
Pour chaque activité de transformation, documenter la base légale du RGPD et la période de conservation. C'est là que votre carte de données se connecte à votre documentation de conformité plus vaste — avis de confidentialité, calendriers de conservation et ADP.
Raccourci pratique: Commencez avec vos données client — c'est presque certainement votre plus grand volume et le plus grand risque. Obtenez cette carte complètement avant de s'attaquer aux activités de traitement à faible risque. Une carte de données partielle et tenue à jour est beaucoup plus précieuse qu'une carte complète qui est immédiatement périmée.
Maintenir votre carte de données
Une carte de données qui n'est pas tenue à jour devient un passif de conformité plutôt qu'un actif. Établir un processus d'examen :
- Revoir la carte complète des données au moins une fois par an
- Déclencher une mise à jour chaque fois qu'un nouveau système est déployé, qu'un nouveau fournisseur est engagé ou qu'un processus change considérablement
- Attribuer la propriété — une personne ou une équipe désignée chargée de tenir la carte à jour
- Contrôle de la version — tenir un registre du moment où les modifications ont été apportées et pourquoi
L'exemption prévue à l'article 30 du RPA pour les PME s'applique-t-elle aux entreprises réglementées?
L'article 30, paragraphe 5, exempte les organisations de moins de 250 salariés de l'exigence de la RoPA — à moins que le traitement ne présente un risque pour les droits et libertés des individus, le traitement n'est pas occasionnel, ou il comprend des données de catégorie spéciale. Les entreprises réglementées (entités assujetties à la LAM, services financiers, soins de santé) sont presque toujours exclues de l'exemption.
Les autorités de contrôle peuvent-elles demander notre carte de données?
Oui. La RPA doit être mise à la disposition des autorités de contrôle sur demande au titre de l'article 30, paragraphe 4. Les organismes de réglementation examinent régulièrement les cartes des données au cours des vérifications et des enquêtes.
Toutes vos données clientes, cartographiées et gouvernées
HubSecure CRM et Vault conservent les données personnelles dans un seul espace de travail gouverné, de sorte que votre carte de données reste précise et vos réponses DSAR sont rapides.
Réservez une démoExamen des équipes réglementées
Préparé par l'équipe de rédaction HubSecure à l'intention des exploitants, des responsables de la conformité et des examinateurs de TI qui évaluent les logiciels d'exploitation sécurisés des clients.
Auteurs · évaluateurs · Politique éditoriale