La cartographie des données, clé de voute du projet GDPR

Le nouveau Règlement général sur la protection des données personnelles (RGPD en français, GDPR en anglais), qui entre en vigueur le 25 mai 2018, s’apprête à révolutionner le droit de la vie privée en Europe.

Dans cette série de billets, je vous propose des extraits du guide pratique d’implémentation du GDPR en entreprise publié le 11 novembre de cette année et dont je suis, avec Élodie Granger, co-auteur.

Étape structurante de tout projet GDPR, la cartographie des données personnelles devra concentrer toutes les attentions. Sa bonne réalisation est le principal facteur de réussite de la mise en conformité GDPR de l’entreprise.

Tous les traitements de données personnelles ont-ils bien été recensés ? Les différentes typologies de données personnelles ont-elles été correctement listées ? Le cycle de vie des données personnelles dans l’entreprise est-il fidèlement retranscrit ? Différentes approches, souvent complémentaires, permettent de s’en assurer.

1. Une étape structurante du projet GDPR

Il s’agit de produire — à l’échelle de l’entreprise — une vue exhaustive des données personnelles mais également de leurs traitements, de leur localisation géographique et au sein du système d’information, des parties prenantes internes et externes impliquées et des activités qu’elles servent.

La cartographie des données devra donc recenser :

• les catégories de personnes concernées ;
• les types de données à caractère personnel en possession de l’entreprise ;
• les traitements de données personnelles ;
• les composants du système d’information concernés par la collecte et le transfert, le stockage et les traitements, qu’ils soient logiques ou physiques ; et
• les finalités associées à chaque collecte ou traitement.

Une cartographie des données personnelles bien réalisée est un facteur-clé dans la réussite du projet de mise en conformité GDPR, dans la mesure où elle permettra de définir le périmètre des opérations de mise en œuvre juridique, conformité, sécurité et les outils à déployer :

• recenser les sources de données et les sorties de flux permettra de définir les parties prenantes externes, notamment les sous-traitants, dont il faudra s’assurer de la conformité GDPR ;
• identifier la nature des données personnelles conditionnera la mise en place du registre des activités de traitement et isoler les données sensibles pour évaluer les risques et impacts relatifs à la vie privée (PIA) ; et
• déterminer la localisation des données et les ressources sollicitées pour les flux et traitements permettra d’isoler le périmètre concerné par l’audit et le renforcement des procédures et des outils de sécurité et de protection des données.

La détermination du caractère personnel des données ou traitements au sens du GDPR est une tâche sensible, qui nécessitera l’intervention d’un avocat expert en la matière. Tout écart d’interprétation du GDPR par des intervenants non spécialistes pourrait en effet affecter le périmètre de données identifiées, et donc fausser l’ensemble du projet de mise en conformité.

2. Les défis de la cartographie des données personnelles

Une cartographie incomplète mène à un projet GDPR inachevé, et donc à une exposition au risque de violation importante bien que non identifiée, ainsi qu’à un défaut de conformité étendu à l’ensemble du périmètre oublié. En outre, le risque est réel de mettre en œuvre des actions correctives mal proportionnées, c’est-à-dire des efforts, ressources et budgets engagés sans pertinence au regard du GDPR.

La cartographie des données personnelles exige donc, en pratique, la mise en œuvre d’une méthodologie d’investigation rigoureuse, particulièrement lorsque le système d’information est complexe :

• une lourde dette technique ;
• des cycles d’évolution IT et métier courts ;
• le traitement massif de données (solutions big data) ;
• le recours à la virtualisation ;
• de multiples périmètres IT ou métier externalisés, notamment via le cloud; ou encore
• des processus et outils mal documentés.

Plus la complexité et la taille du système augmentent, plus il sera nécessaire de croiser plusieurs approches et différentes sources d’information afin de balayer l’exhaustivité des données et traitements à caractère personnel.

3. Les approches complémentaires de cartographie

Dans la majeure partie des cas, on croisera, par souci d’exhaustivité, deux approches de cartographie : l’approche métier — qui engage les investigations en partant de la personne concernée — et l’approche technique — depuis le système d’information.

L’approche métier revient à suivre les étapes suivantes :

• définir les catégories de personnes concernées, au sens de la GDPR (par exemple : clients, prospects, utilisateurs, salariés, fournisseurs, etc.) ;
• pour chaque catégorie, recenser la nature des données personnelles collectées par l’entreprise ;
• suivre les flux de données : leurs points d’entrée et de transfert ; et
• identifier les traitements effectués sur ces données.

L’approche technique repose quant à elle sur la procédure suivante :

• définir les processus internes et externes en interaction avec les personnes concernées ;
• recenser les systèmes d’information sur lesquels reposent directement ces processus ;
• identifier les flux et traitements de données personnelles supportés par ces systèmes ; et
• remonter les flux et traitements de données personnelles connexes externes à ces systèmes.

Recevez régulièrement les articles du blog, des brèves et des liens :

Abonnez-vous à la newsletter Passe-droits