RGPD : cartographier les traitements de données par l’agence

L’article 30 du RGPD dispense les entreprises de moins de 250 salariés de tenir un registre des activités de traitement. Il est toutefois recommandé d’établir ce registre pour identifier précisément les traitements de données réalisés par l’agence et mieux mesurer les impacts du RGPD sur l’organisation de l’agence. 
 

I – Mode d’emploi du modèle de la CNIL

La CNIL a mis en ligne un modèle de registre de traitement, fondé sur un cheminement simple :

• qui collecte les données dans l’agence ? : dirigeant, salarié, prestataire…
• quelles données sont collectées ? : l’objectif est notamment d’identifier les données qui pourraient être considérées comme sensibles ou celles qui pourraient ne plus être traitées dans la logique du principe de minimisation
• pourquoi ces données sont collectées ? : c’est un des principes phares du RGPD, la collecte de données n’a pas de sens si elle n’a pas de finalité, et devient illicite si elle sert un objectif contraire 
• où ces données sont-elles stockées ? : le RGPD ne s’applique pas qu’au stockage dématérialisé mais vise aussi le traitement des données sur des supports matériels
• jusqu’à quand ? : autre obligation nouvelle avec le RGPD, une durée de conservation des données doit être définie 
• comment les données sont-elles sécurisées ? : le RGPD repose en partie sur le principe d’"accountability". Les entreprises doivent prendre des mesures organisationnelles et techniques en vue de garantir la protection des données aux personnes qui sont concernées par le traitement. 

Le modèle de la CNIL repose sur un registre général des activités et une déclinaison par fiche pour chaque traitement recensé (accessible sur son site Internet)

Image

II – Illustrations de la démarche avec un registre de traitement type et des fiches d’activité fictives

Voici un exemple de la démarche fondé sur des traitements potentiels d’une agence fictive, la SARL d’architecture CNOA, composée d’un gérant et de 9 salariés (5 architectes, 1 économiste, 2 conducteurs de travaux et 1 directeur administratif et financier)

1 — Elaboration du registre des activités de traitement

exemple : 

Image

(!) En cas de direction collégiale pour les sociétés, il faut identifier l’ensemble des mandataires sociaux. Pour les libéraux, il s’agit de renseigner le nom et les coordonnées du chef d’entreprise. 
La désignation d’un DPO, sauf cas extrêmement marginal, n’est généralement pas obligatoire pour les agences d’architecture. Pour celles qui réalisent un nombre important de traitement ou pour lesquelles les données traitées sont conséquentes, il est bien entendu possible de procéder à la désignation volontaire d’un DPO. (Plus d’informations sur la désignation du DPO)

exemple : 

Image

(!) Il s’agit d’un listing assez basique dans la forme. Sur le fond, il est important de recenser toutes les activités pour lesquelles un traitement matérialisé ou dématérialisé (collecte, enregistrement, organisation, structuration, conservation, adaptation ou la modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement, effacement ou destruction…)  de données personnelles (nom, numéro d'identification, données de localisation, identifiant en ligne, un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale) est engagé au sein de l’agence

2— Renseigner les fiches de registre d’activités

exemple : 

Image

a. Objectifs poursuivis
Recenser les coordonnées des cotraitants actuels de l’agence sur les diverses opérations en cours afin de faciliter les échanges, ainsi que celles des cotraitants potentiels en vue de postuler à de prochains concours

(!) Rappelons que pour un grand nombre de traitement, c’est l’objectif poursuivi qui fonde à la fois la légalité du traitement mais aussi la manière dont il est réalisé. L’objectif doit donc être clairement décrit pour chaque activité.

b. Catégories de personnes concernées

exemple : 
1. Architectes libéraux
2. Chefs de projets / salariés agence d’architecture
3. Dirigeants / salariés BET

(!) Chaque catégorie constituant un type distinct de personne doit être listée

c. Catégories de données collectées

exemple : 

Image

Des données sensibles sont-elles traitées ?

La collecte de certaines données, particulièrement sensibles, est strictement encadrée par le RGPD et requiert une vigilance particulière. Il s’agit des données révélant l'origine prétendument raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale des personnes, des données génétiques et biométriques, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle des personnes, des données relatives aux condamnations pénales ou aux infractions, ainsi que du numéro d'identification national unique (NIR ou numéro de sécurité sociale).

exemple : 

☐ Oui  ☒  Non

Si oui, lesquelles ? : sans objet

(!) Il parait opportun d’associer à chaque catégorie cochée la nature exacte des données collectées afin d’identifier celles qui pourraient être excédentaires. De manière caricaturale dans l’exemple, on précise que le nombre d’enfants est collecté. Typiquement, il s’agit d’une donnée qui n’a aucune légitimité par rapport à l’objectif poursuivi et qu’il appartiendra de supprimer

d. Durées de conservation des catégories de données

Combien de temps conservez-vous ces informations ?
……….Jours, ………Mois, ……….Ans, Autre durée : ……….

Si vous ne pouvez pas indiquer une durée chiffrée, précisez les critères utilisés pour déterminer le délai d’effacement (par exemple, 3 ans à compter de la fin de la relation contractuelle).

exemple : 
Les données sont conservées sans limite de durée préfixée

(!) Dans cet exemple, le temps de conservation ne fait pas l’objet de limite. C’est donc un point qui devrait faire l’objet d’une action corrective.

e. Catégories des destinataires internes

exemple : 

Destinataires internes
(Ex : entité ou service, catégories de personnes habilitées, direction informatique, etc.)
1. Gérant de la société                             
2. Directeur administratif et financier
3. Architectes salariés de la SARL                 

Organismes externes
Le fichier n’est utilisé qu’en interne                       

Sous-traitants
(Ex : hébergeurs, prestataires et maintenance informatiques, etc.)
1. Plateforme d’hébergement (sauvegarde cloud)​

(!) L’un des enjeux majeurs du RGPD réside dans le transfert des données. Lors de l’identification des traitements, l’agence doit prendre un soin particulier à caractériser les éventuels traitements qui feraient l’objet d’un partage.​

f. Transfert des données hors UE

Des données personnelles sont-elles transmises hors de l’Union européenne ?

exemple : 

☐ Oui  ☒  Non
Si oui, vers quel(s) pays : sans objet

Dans des situations particulières (transfert vers un pays tiers non couvert par une décision d’adéquation de la Commission européenne, et sans les garanties mentionnées aux articles 46 et47 du RGPD), des garanties spécifiques devront être prévues et documentées dans le registre (article 49)

g. Mesures de sécurité

Cochez et décrivez les mesures de sécurité organisationnelles et techniques prévues pour préserver la confidentialité des données.
Le niveau de sécurité doit être adapté aux risques soulevés par le traitement. Les exemples suivants constituent des garanties de base à prévoir et peuvent devoir être complétés.

exemple : 

Image

(!) Les mesures de sécurité à déployer sont intimement attachées au caractère sensible des données personnelles traitées. Dans l’exemple ci-dessus, l’essentiel des données compilées n’a pas de caractère sensible et peut être accessible publiquement par ailleurs.
Pour aider les entreprises à se mettre en conformité, la CNIL propose un guide spécifique sur la question de la sécurité des données personnelles, sous la forme de 17 fiches thématiques (mise à jour Avril 2023).

3— Analyser la fiche d’activité et déterminer les premières actions correctives à mettre en œuvre

La cartographie a pour objectif essentiel de vérifier la conformité du traitement aux principes du RGPD et d’en déduire d’éventuelles actions correctives à mettre en œuvre. Chaque traitement doit faire l’objet d’une fiche spécifique, et potentiellement de mesures correctives en matière de licéité du traitement, de ses modalités opérationnelles et de sa sécurité.

Pour chaque fiche de registre créée, il s’agit de vérifier :

• que les données que l’agence traite sont nécessaires à ses activités : la tenue d’un fichier de cotraitant potentiel est totalement légitime au regard de la pratique habituelle de la maitrise d’œuvre. Les données collectées doivent s’inscrire dans cette stricte finalité, ce qui n’est pas le cas dans l’exemple à travers la collecte du nombre d’enfants  
   
• que les données traitées ne sont pas considérées comme ‘sensibles’ : ce n’est pas le cas dans l’exemple
   
• que seules les personnes habilitées ont accès aux données dont elles ont besoin : ce contrôle nécessite de questionner les mesures de sécurité associées à chaque traitement, notamment la définition d’une politique interne d’accès. L’absence de contrôle d’accès dans l’exemple précédent fait par exemple peser un risque sur une éventuelle altération des données.  A ce titre le RGPD, au-delà de l’obligation réglementaire, peut être l’occasion pour une agence de moderniser sa gestion documentaire.
   
• que les données ne sont pas conservées au-delà de ce qui est nécessaire : quel que soit le traitement de données, c’est une question essentielle à se poser dans le maintien ou l’exploitation d’un nouveau traitement. L’absence de terme formel à un traitement doit véritablement faire l’objet d’une attention particulière du responsable de traitement. Dans l’exemple précédent, il faudrait formaliser un effacement des données selon un rythme prédéfini laissé à la discrétion de l’agence (effacement du fichier en l’absence de lien contractuel ou contact commercial pendant plus de 2 ans par exemple).

----------------------

>> Pour en savoir plus sur la RGPD

• Portail pour professionnel de la CNIL
• RGPD : passer à l’action (CNIL)
• MOOC – L’atelier RGPD (CNIL)
• Guide pratique de sensibilisation au RGPD (BPIFrance)