Guide complet de cartographie des données GDPR

Avec l'introduction du règlement général sur la protection des données (GDPR) et ses exigences de conformité pour les entreprises, vous avez probablement entendu parler de "cartographie des données".

Mais qu'est-ce que la cartographie des données ? Pourquoi est-elle si étroitement liée au GDPR?

Dans ce guide, nous vous présenterons la définition de la cartographie des données, son objectif et ses avantages, ainsi que les raisons pour lesquelles elle est importante pour la conformité au GDPR . Nous explorerons également le processus de cartographie des données étape par étape, ainsi que quelques exemples et ressources utiles afin que vous puissiez créer une cartographie des données pour votre entreprise.

Ce guide de cartographie des données est volumineux. N'hésitez donc pas à utiliser la table des matières ci-dessous pour vous y retrouver.

Qu'est-ce que la cartographie des données ?

La cartographie des données est un système de catalogage des données que vous collectez, de la manière dont elles sont utilisées, de l'endroit où elles sont stockées et de la manière dont elles circulent au sein de votre organisation et au-delà. Il existe différentes façons d'atteindre cet objectif - que ce soit au moyen d'une simple feuille de calcul ou d'un programme de cartographie des données dédié - et l'étendue ou les limites de votre cartographie des données dépendront de votre activité.

Cependant, la plupart des cartes de données doivent contenir les informations suivantes :

• Quelles sont les données collectées ?
• Que ces données soient sensibles ou personnelles
• La base juridique du traitement de ces données - elle doit faire référence aux six bases juridiques établies par le GDPR, que nous expliquons ci-dessous
• Pourquoi les données sont-elles collectées ?
• Où sont stockées les données
• Durée de conservation des données
• Dans quelles conditions les données sont-elles stockées ? Quelles sont les mesures de protection mises en place au sein de votre organisation ?
• Où les données sont-elles transférées ?
• Le lieu d'implantation des destinataires tiers - en tenant compte des transferts internationaux de données
• Quels sont les protocoles mis en place pour protéger les données pendant les transferts ?

La cartographie des données est une combinaison de votre inventaire de données et de votre flux de données.

Une carte des données se présente souvent en deux parties : une feuille de calcul détaillant les données que vous collectez et un organigramme décrivant le mouvement de ces données à travers les systèmes internes et les transferts externes.

Pour être efficaces, les cartes de données nécessitent la contribution de presque tous les services

Il est particulièrement important que les services informatiques, juridiques, de marketing et des ressources humaines participent à ce processus. En outre, la documentation de chaque donnée doit être étroitement supervisée par votre délégué à la protection des données (DPD) ou par un membre expérimenté de votre équipe chargée de la protection de la vie privée.

La cartographie des données n'est pas une activité ponctuelle

Bien qu'elle doive être réalisée dès que possible - en particulier si vous êtes soumis à la conformité avec le GDPR, la cartographie des données est une activité continue que vous devez mettre en œuvre dans vos pratiques commerciales régulières.

Quel est l'objectif de la cartographie des données ?

L'objectif de la cartographie des données est de rassembler toutes les informations sur la manière dont votre entreprise utilise les données et de les présenter en un seul endroit.

Les cartes de données fournissent une structure facile à lire qui indique d'où viennent vos données, qui les utilise, comment elles sont stockées et où elles sont envoyées. En créant une carte des données, vous vous assurez de disposer de toutes les informations dont vous avez besoin pour vous conformer aux lois internationales sur la confidentialité des données.

Un autre objectif d'une carte des données est de trouver des moyens de rationaliser vos processus de données. Grâce à une carte des données, vous pouvez repérer les redondances et les cas de non-conformité. Vous pouvez ainsi résoudre ces problèmes avant qu'ils ne se transforment en problèmes juridiques importants.

Avantages de la cartographie des données pour la protection de la vie privée

La cartographie des données n'est pas seulement un outil de visualisation utile. Elle offre également de nombreux avantages qui peuvent vous aider à mieux protéger la vie privée de vos clients et à améliorer votre conformité au GDPR.

Voici quelques-uns des avantages les plus précieux de la cartographie des données:

Quels sont les défis liés à la cartographie des données ?

Si la cartographie des données présente de nombreux avantages, notamment la conformité au GDPR , elle n'est pas sans poser de problèmes. Par exemple, lorsque vous commencez à cartographier les processus de données, vous rencontrerez probablement des problèmes tels que les suivants :

Déterminer si des données sont personnelles

Le GDPR s'applique aux informations qui peuvent être reliées à une personne physique identifiée ou identifiable, y compris les informations telles que :

• Noms
• Numéros d'identification
• Identifiants en ligne
• Numéros de téléphone
• Adresses
• Numéros de cartes de crédit
• Apparence
• Données de localisation
• Identifiants ethniques, religieux, génétiques, physiologiques, sociaux ou commerciaux

Pour l'essentiel, toute information susceptible d'identifier une personne est couverte par le GDPR. Par conséquent, pour réaliser correctement la cartographie des données, vous devez déterminer si les données sont considérées comme personnelles ou non et l'indiquer dans la carte elle-même.

Identifier toutes les activités de traitement des données

Une fois que vous avez déterminé si les données sont personnelles, vous devez passer en revue les activités de votre organisation et identifier toutes les façons dont vous utilisez ces informations.

Le traitement des données, tel qu'il est défini par l'UE, est le suivant :

"la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de données à caractère personnel".

Voici quelques exemples :

• Stockage des adresses MAC et IP
• Envoi de courriels aux clients pour les informer des promotions
• Stockage des données des clients en vue de contacts ultérieurs
• Publier des photos d'une personne
• Enregistrement de séquences de sécurité
• Gestion des salaires

Vous devez nommer toutes ces activités dans votre carte des données, ce qui peut représenter un effort considérable pour les grandes organisations.

Suivi de vos obligations légales et réglementaires

Le GDPR étant un règlement relativement nouveau, les précédents et l'application du projet de loi sont susceptibles d'évoluer. Au fur et à mesure de ces changements, il vous incombe de surveiller vos obligations actuelles en matière de protection de la vie privée des consommateurs. En outre, lorsque des changements surviennent, vous devrez en tenir compte dans votre processus de cartographie des données en clarifiant la manière dont votre entreprise se conforme aux nouvelles exigences.

La cartographie des données est inestimable pour les organisations modernes. Non seulement elle vous aide à comprendre comment vous utilisez et collectez les informations, mais elle vous aide également à rester en conformité avec le GDPR. Bien que la cartographie des données présente des difficultés, elle vaut la peine pour son utilité directe ainsi que pour sa capacité à attirer votre attention sur les risques en matière de protection de la vie privée et les failles de sécurité.

Meilleures pratiques en matière de cartographie des données

En gérant le processus de cartographie, il peut être facile de perdre de vue la situation dans son ensemble. Le respect de certaines bonnes pratiques en matière de cartographie des données vous aidera à garder le contrôle du processus et à minimiser le nombre de révisions à effectuer.

Choisissez vos outils

Avant de commencer à collecter des informations, vous devez décider de la manière dont vous allez cartographier les données. En mettant en place vos outils et vos ressources à l'avance, il est plus facile de cartographier efficacement vos processus de données.

La solution que vous choisirez dépendra de la quantité de données que votre organisation traite et du type de données que vous collectez.

Vous pouvez commencer par utiliser une simple feuille de calcul, mais si vous cartographiez une grande organisation ou si vous savez que vous collectez une grande variété de données, il est préférable d'utiliser dès le départ un outil de cartographie de données spécialisé tel que DPOrganizer. Dans ce cas, il est préférable d'utiliser dès le départ un outil de cartographie de données tel que DPOrganizer:

Identifier clairement les sources et les types de données

L'objectif de la cartographie des données est d'identifier précisément chaque aspect de vos processus de données. Cela signifie que vous devez savoir clairement d'où viennent vos données et quel type d'information elles contiennent.

Votre carte des données doit répondre à des questions telles que

• Avez-vous recueilli les informations directement auprès du client ou d'un tiers ?
• Le client sait-il que vous avez recueilli ses données ?
• Quel type de données avez-vous collecté ? S'agit-il, par exemple, d'un nom, d'une adresse IP, d'une adresse électronique, d'un numéro de téléphone, d'une localisation physique ou de toute autre information permettant d'identifier un individu ?

Plus vous serez précis, plus votre carte de données sera exacte.

Sécuriser le processus de cartographie

Lorsque vous procédez à la cartographie des données, vous interagissez souvent directement avec les données privées que vous souhaitez protéger. Vous devez donc veiller à ce que le processus de cartographie soit aussi sûr que toute autre activité de traitement des données.

Après tout, votre carte des données explique exactement comment vous protégez les données des consommateurs, ce qui peut donner aux agents malveillants les informations dont ils ont besoin pour contourner vos mesures de sécurité.

Vos outils de cartographie des données doivent être aussi bien protégés que les informations les plus sûres que vous stockez. Par exemple, seules les personnes autorisées devraient pouvoir accéder à la carte ou la mettre à jour de quelque manière que ce soit, ce qui la met à l'abri des regards indiscrets.

Effectuer des mises à jour périodiques

Votre entreprise évolue et les données qu'elle recueille changent également. C'est pourquoi la meilleure pratique consiste à mettre à jour votre carte de données au moins une fois par trimestre, voire une fois par mois ou même une fois par semaine. Plus les mises à jour sont fréquentes, moins il est probable que des failles dans la protection de la vie privée ou des activités non conformes passent inaperçues et entraînent des problèmes juridiques.

Conservation des documents

Votre carte ne suffit pas à elle seule à prouver la manière dont vous gérez les données de vos clients. En plus de votre carte, vous devez également conserver des documents conformément à l'article 30, paragraphes 1 et 2, du GDPR expliquant comment vous transférez les données au sein de votre entreprise et à des fournisseurs externes.

Ces dossiers doivent comprendre

• le responsable spécifique du traitement chargé du transfert, ainsi que ses coordonnées
• À qui les données ont-elles été transmises ?
• Pourquoi et comment il a été transféré
• Comment entrer en contact avec ce parti
• Mesures de sécurité couvrant le transfert
• Une description des données transmises
• Quand les données sont censées être effacées

En conservant ces enregistrements, vous pouvez démontrer que vos cartes sont exactes et fournir des ressources supplémentaires si vous faites l'objet d'un audit GDPR .

Exemples de cartographie des données

Il n'existe pas de format ou de processus unique pour la cartographie des données. Au contraire, elles peuvent se présenter sous différentes formes, par différents moyens d'exécution, et dans un large éventail de tailles et de profondeurs.

La forme que prendra votre carte des données dépendra principalement de vos activités de traitement des données et de votre budget.

Si votre entreprise collecte, traite ou partage beaucoup de données, vous pouvez investir dans un logiciel dédié à la cartographie des données. Avec un logiciel de cartographie des données, vous travaillerez probablement avec un tableau de bord, grâce auquel vous pourrez naviguer vers votre inventaire de données, votre organigramme, les détails de l'emplacement et les analyses.

Certains programmes sont plus avancés sur le plan technique et doivent être supervisés par le personnel approprié. Prenons les exemples suivants :

Altova MapForce

Technologies liquides

Certaines solutions CRM proposent une fonctionnalité de cartographie des données. Vous pouvez donc faire d'une pierre deux coups en choisissant le CRM qui convient à votre entreprise.

Si vous préférez créer votre carte de données en dehors d'un service logiciel spécialisé, vous obtiendrez très probablement un document, une feuille de calcul ou une carte (ou les trois) détaillant le traitement de vos données.

Vous trouverez ci-dessous un exemple de diagramme de cartographie de données dans sa forme la plus simple :

par Anthony Budd

Le style de carte ci-dessus peut être réalisé sous la forme d'un document ou d'une feuille de calcul et est idéal pour les entreprises qui ne collectent pas, ne traitent pas ou ne transfèrent pas de grandes quantités de données. Cette solution nécessite une saisie manuelle et n'est pas très détaillée.

Pour les activités de données plus complexes, la création d'une carte Excel interactive est une bonne option. Il s'agit d'une solution évolutive qui nécessite toujours une saisie manuelle, mais qui vous offre davantage de possibilités de suivi et de visualisation des processus de données.

Vous trouverez ci-dessous un exemple de carte de données Excel interactive :

Essayez ce guide étape par étape pour créer des cartes Excel interactives comme celle ci-dessus.

Ce ne sont là que quelques exemples parmi tant d'autres de ce à quoi peut ressembler une carte de données. La vôtre peut être l'une d'entre elles - ou une combinaison de celles-ci.

L'élément essentiel de la cartographie des données est que le résultat contienne toutes les informations nécessaires sur vos activités de traitement des données.

Pourquoi la cartographie des données est-elle importante pour la conformité au GDPR ?

Le GDPR prévoit la mise à jour des systèmes existants et la mise en œuvre de nouveaux systèmes afin de garantir la conservation et le traitement équitable des données des utilisateurs que vous traitez. Mais pour évaluer correctement la sécurité des données, vous devez d'abord être en mesure de suivre un élément de données depuis le point de collecte jusqu'à sa suppression éventuelle.

Sans une vue d'ensemble du cycle de vie complet de vos données, les mesures de sécurité que vous mettrez en œuvre seront au mieux fragmentaires.

La cartographie des données est non seulement une base essentielle pour atteindre les objectifs généraux du GDPR, mais elle est également directement mandatée par plusieurs articles du règlement. Cela signifie que vous êtes légalement tenu d'effectuer régulièrement une cartographie des données pour rester en conformité avec la loi.

Voici les raisons pour lesquelles la cartographie des données aidera votre entreprise à se conformer au GDPR.

Raison n° 1 : Conserver des traces des activités de traitement (article 30)

L'article le plus important concernant les exigences du GDPR matière de cartographie des données est l'article 30 duGDPR , intitulé "Registres des activités de traitement". C'est cet article qui est le plus directement responsable de l'obligation pour les organisations de cartographier les données.

Le règlement stipule que :

• Chaque responsable du traitement et, le cas échéant, son représentant, tient un registre des activités de traitement relevant de sa responsabilité.
• Chaque sous-traitant et, le cas échéant, son représentant, tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte d'un responsable du traitement.
• Les registres... sontétablis par écrit, y compris sous forme électronique.
• Le responsable du traitement ou le sous-traitant ...met le dossier à la disposition de l'autorité de contrôle sur demande.

Les obligations susmentionnées ne s'appliquent pas à une entreprise ou à une organisation employant moins de 250 personnes, sauf si

• Le traitement qu'il effectue est susceptible d'entraîner un risque pour les droits et libertés des personnes concernées.
• Le traitement n'est pas occasionnel
• Le traitement comprend des catégories particulières de données visées à l'article 9, paragraphe 1, ou des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10 .

Pour l'essentiel, cet article du règlement impose aux entreprises de cartographier leurs données et de les mettre à la disposition des organes de contrôle qui en font la demande.

Raison n° 2 : réaliser des évaluations des incidences sur la politique de développement (article 35)

En vertu de l'article 35 du GDPR, si vous traitez des données en utilisant de nouvelles technologies ou d'une manière qui pourrait mettre en danger les droits et les données des consommateurs, vous êtes tenu de réaliser une évaluation de l'impact sur la protection des données (DPIA).

Une DPIA, telle que définie par l'Information Commissioner's Office (ICO) du Royaume-Uni, est :

"...un processus conçu pour vous aider à analyser, identifier et minimiser systématiquement les risques liés à la protection des données dans le cadre d'un projet ou d'un plan".

Selon IT Governance, la réalisation d'une DPIA passe par les six étapes suivantes :

1. Déterminer la nécessité de l'AIPD
2. Décrire le flux d'informations
3. Identifier les risques liés à la protection de la vie privée et les risques connexes
4. Identifier et évaluer les solutions en matière de protection de la vie privée
5. Signer et enregistrer les résultats de l'AIPD
6. Intégrer les résultats de l'AIPD dans le plan du projet

Les étapes 2 et 3 de ce plan DPIA sont directement liées à la cartographie des données. L'étape 2 est la cartographie des données proprement dite, tandis que l'étape 3 est une composante essentielle de la création d'une carte des données utile.

Si vous devez réaliser une DPIA, le fait que ces étapes critiques aient déjà été franchies grâce à vos efforts de cartographie des données simplifiera et accélérera le processus pour vous ou votre DPD.

Raison #3 : Démontrer le respect de la vie privée dès la conception (article 5)

L'objectif fondamental du GDPR est de protéger les données des utilisateurs en établissant des lignes directrices plus strictes pour la collecte et le traitement des informations personnelles. L'article 5 du GDPR précise les principes clés du traitement des données que les entreprises doivent respecter pour atteindre cet objectif.

Parmi ces principes figure l'idée de Privacy by Design (PbD) - qui consiste à intégrer les mesures de protection des données et de la vie privée dans chaque élément de l'entreprise, comme un élément essentiel et non comme une réflexion après coup.

Selon le texte du GDPR lui-même, vous devez vous assurer que les données personnelles sont.. :

"traitées d'une manière qui garantisse une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels, au moyen de mesures techniques ou organisationnelles appropriées ('intégrité et confidentialité')".

La comptabilisation de vos données et la recherche des points faibles de vos processus par le biais de la cartographie des données sont des étapes clés de la mise en œuvre du PbD et de la sécurisation des données des utilisateurs.

Raison n° 4 : établir la base légale du traitement (article 6)

En vertu de l'article 6 du GDPR, pour que le traitement des données soit licite, il doit être effectué sur une ou plusieurs des six bases suivantes :

1. Avec le consentement de la personne concernée GDPR
2. Pour les intérêts légitimesGDPR
3. Pour l'exécution d'un contrat
4. Pour se conformer à une obligation légale
5. Protéger les intérêts vitaux de la personne concernée
6. Pour l'intérêt public

Lors de l'élaboration de votre carte des données, vous devez noter les raisons pour lesquelles vous collectez ou traitez des données, ainsi que la justification légale de ces activités.

Par exemple, si vous recueillez les adresses électroniques des utilisateurs qui s'inscrivent pour recevoir des bulletins d'information, vous pouvez enregistrer cette catégorie de données en précisant que vous le faites sur la base du consentement de l'utilisateur.

En passant au crible vos données et en déterminant quel fondement s'applique à chacune de vos activités de traitement, vous vous assurez de ne pas collecter ou traiter des données de manière illicite par inadvertance. Ce processus peut vous protéger en cas d'enquête sur la protection de la vie privée et vous aider à réaliser la prochaine tâche de conformité au GDPR sur notre liste.

Raison n° 5 : Pratiques détaillées en matière de données (article 12)

L'article 12 du GDPR impose aux entreprises de présenter à leurs utilisateurs des politiques de confidentialité claires et complètes, également appelées "avis de confidentialité". Ces politiques doivent détailler en détail vos interactions avec les données des utilisateurs, y compris ce que vous collectez, pourquoi vous le faites, comment elles sont stockées, où elles peuvent être transférées, et d'autres détails concernant la collecte et le mouvement des informations personnelles des utilisateurs.

Pour élaborer ce document - et le rendre conforme au GDPR - vous devez avoir une idée précise des données qui transitent par votre entreprise. Avec une cartographie complète des données, il vous sera beaucoup plus facile de transcrire ces informations dans une politique de confidentialité conviviale.

Si vous ne savez pas comment mettre votre avis de confidentialité en conformité avec le GDPR, utilisez notre Générateur GDPR politique de confidentialité GDPRGénérateur de politique de confidentialité. Si vous préférez créer votre propre avis, vous pouvez commencer par un modèle de politique de confidentialité pour vous assurer que vous n'oubliez aucune section nécessaire.

Raison #6 : Gérer les demandes d'accès des personnes concernées (articles 15-18, 20-21)

Le GDPR met un point d'honneur à accorder aux internautes de nouveaux droits sur leurs données. Certains des principaux nouveaux droits proviennent des articles 15-18 et 20-21 du GDPR, qui établissent :

Tous ces éléments font partie de la mission du GDPRqui consiste à accorder aux utilisateurs un plus grand contrôle sur leurs données. Pour que les entreprises se conforment à cette section du règlement, elles doivent permettre aux utilisateurs d'exercer ces droits.

Le moyen le plus courant consiste à proposer aux utilisateurs un formulaire de demande d'accès aux données (DSAR) - une fenêtre contextuelle ou une page qui permet aux utilisateurs de demander l'accès, la modification, le transfert ou la suppression de leurs données à caractère personnel.

Proposer aux utilisateurs un formulaire de DSAR où ils peuvent exercer leurs droits est une chose - mais votre travail n'est pas terminé tant que les demandes n'ont pas été traitées. En outre, l'organisation des données est d'autant plus essentielle en cas de soumission de DSAR que le GDPR stipule un délai d'un mois dans lequel les entreprises doivent répondre à ces demandes.

Sans un registre facilement accessible et bien organisé des données collectées et traitées pour chaque utilisateur, ainsi que le raisonnement qui sous-tend chaque activité de traitement, la réponse à chaque DSAR peut être longue et coûteuse. C'est là qu'une carte des données peut contribuer à alléger le fardeau que représente la recherche de toutes les données collectées auprès d'un utilisateur.

Si vous avez déjà cartographié vos données et que vous pouvez accéder facilement aux informations requises et aux détails qui les accompagnent, il vous sera facile et rapide de prendre les mesures qui s'imposent en cas de DSAR.

Maintenant que vous savez pourquoi la cartographie des données est importante et quels sont les avantages qu'elle offre à votre organisation, il est temps d'étudier comment créer une carte des données.

Bien que la carte de chaque organisation soit différente, le processus fondamental reste le même. Ci-dessous, vous apprendrez comment réaliser une cartographie de données, vous découvrirez quelques bonnes pratiques et exemples de cartographie de données, et vous choisirez les outils qui simplifieront le processus.

Comment faire : Tutoriel de cartographie des données pour le GDPR

La cartographie des données conformément au GDPR est un processus complexe. Cependant, si vous le faites correctement du premier coup, vous pourrez gagner beaucoup de temps et d'efforts sur le long terme. Vous découvrirez ci-dessous le processus de création d'une carte des données, étape par étape, et les éléments à inclure.

Processus de cartographie des données GDPR étape par étape

Le processus de cartographie des données peut être déroutant. Le fait de le diviser en différentes étapes peut vous aider à comprendre ce que vous devez faire. Le processus de base de la cartographie des données peut être décomposé en six étapes, chacune d'entre elles vous permettant d'améliorer la précision de vos cartes.

1. Collecte des données Lieux de traitement

Pour créer la carte de base, vous devez savoir où vous travaillez avec les données. Pour ce faire, demandez à chaque membre de votre organisation d'expliquer le traitement des données qu'il effectue.

Si votre personnel ne comprend pas ce qu'il doit fournir, vous pouvez le décomposer en deux questions :

• Quelles sont vos tâches quotidiennes, mensuelles et annuelles ?
• Quels sont les indicateurs de performance et les indicateurs clés de performance que vous suivez ou avec lesquels vous interagissez ?

La première fois que vous réaliserez une cartographie des données, vous devrez probablement passer un peu de temps à trier ces réponses pour trouver celles qui se rapportent aux données.

Cependant, en les combinant, ces questions vous donneront un aperçu complet de toutes les informations avec lesquelles votre personnel interagit d'une manière ou d'une autre.

2. Recueillir des informations spécifiques

Une fois que vous avez identifié les activités de traitement des données, vous pouvez collecter des informations supplémentaires sur chacune d'entre elles. Cette étape est l'occasion d'en apprendre davantage sur les éléments réglementés par le GDPR, tels que :

• Collecte des données : Il s'agit de l'objectif, de la source, de la base juridique, de la localisation et du consentement pour les données collectées.
• Utilisation des données : Pourquoi et comment les informations sont utilisées.
• Le stockage des données : Les mesures de sécurité, les conditions, le format et la durée de conservation des données.
• Transfert de données : Les lieux et les parties auxquels les données sont transférées, l'objectif du transfert et les mesures de sécurité entourant le transfert.

Une bonne compréhension de l'interrogation des bases de données peut s'avérer particulièrement utile à ce stade. L'acquisition de compétences SQL de base peut considérablement améliorer votre capacité à interroger et à analyser efficacement les points de données, ce qui, en fin de compte, rationalise le processus de mappage des données pour la conformité au GDPR .

Si vous recueillez ces informations manuellement, la meilleure façon de les organiser est d'utiliser une feuille de calcul. Cela vous aidera à garder une trace de chaque donnée et facilitera les recoupements ultérieurs.

Par exemple, la feuille de calcul suivante montre comment vous pourriez organiser une carte de données simple en utilisant l'outil de suivi de la responsabilité de l'ICO au Royaume-Uni.

3. Connecter les processus de données et les parties responsables

Une fois que vous avez rassemblé toutes ces informations, vous pouvez élaborer votre carte.

La méthode la plus simple consiste à télécharger les données que vous avez collectées vers un créateur de cartes de données au moyen d'une feuille de calcul. Cependant, il existe des outils de cartographie de données qui peuvent accepter diverses données et les organiser pour vous.

Vous en apprendrez plus sur le choix des outils de cartographie de données dans la suite de ce guide.

Si vous élaborez une carte graphique, vous pouvez structurer chaque partie responsable comme une plaque tournante, reliée par des transferts de données. Les processus d'utilisation et de stockage des données peuvent être regroupés sous chaque pôle. Le résultat devrait être une représentation visuelle claire et facile à lire de la manière dont votre organisation utilise l'information.

4. Rechercher les lacunes

Une fois que tout est présenté sous un format facile à lire, vous pouvez commencer à rechercher les lacunes, telles que les suivantes :

• Les endroits où vous ne disposez pas de toutes les informations nécessaires pour déterminer si vous êtes en conformité.
• Traitements de données non conformes
• Transferts manquants
• Parties responsables manquantes
• Processus vagues, imprécis ou contradictoires

Ce sont ces lacunes que vous devez combler pour que votre carte soit exacte et que vos pratiques en matière de protection de la vie privée soient conformes au GDPR. Ensuite, lorsque vous les repérez, vous pouvez mener des enquêtes plus approfondies pour comprendre ce qui vous manque et apporter toutes les améliorations nécessaires.

5. Générer des rapports

Votre carte de données est essentielle pour la création de rapports juridiques. En particulier, vous aurez besoin de la carte de données complète pour créer votre rapport sur l 'article 30 de la loi ROPA. Vous pouvez également l'utiliser pour créer des visualisations d'actifs, des diagrammes de flux de données et des cartes de transfert de données transfrontalières.

6. Répéter et maintenir

Une fois le processus terminé, il est temps de revenir au début. Il est conseillé de mettre à jour vos cartes de données au moins une fois par trimestre pour éviter qu'elles ne deviennent trop obsolètes.

En recartographiant régulièrement vos données, vous pouvez vous appuyer sur des cartes généralement exactes et procéder à des mises à jour mineures au lieu de devoir repartir de zéro à chaque fois. Cette maintenance garantit que vous avez toujours une compréhension raisonnable de vos processus de données si vous devez produire de la documentation à leur sujet.

Que contient une carte de données ?

Bien que chaque carte de données soit différente, vous devez toujours inclure des détails de base sur les informations que vous collectez. Ces détails sont les suivants

Suivre un diagramme de cartographie des données comme celui-ci sur Github peut vous aider à vous assurer que vous avez inclus tous les détails appropriés. En outre, il propose un tutoriel simple sur la cartographie des données qui vous aidera à suivre le processus.

Techniques de cartographie des données

Il existe deux types principaux de techniques de mise en correspondance des données : la mise en correspondance manuelle et la mise en correspondance automatisée. Ces techniques sont adaptées à différents cas d'utilisation.

En choisissant le bon, vous obtiendrez la carte de données la plus précise possible sans dépasser votre budget ni perdre votre temps.

Cartographie manuelle des données

Si vous n'avez jamais généré de carte de données auparavant, la cartographie manuelle des données peut être la bonne solution. Lorsque vous réalisez une cartographie manuelle des données, vous collectez toutes les informations sur vos données traitées à la main et vous les saisissez une par une dans une feuille de calcul.

Une fois que vous avez rassemblé tous les détails pertinents, vous pouvez utiliser cette feuille de calcul pour créer une représentation visuelle de toutes les parties responsables, de tous les transferts de données et de toutes les activités de traitement impliquées dans votre organisation.

La cartographie manuelle des données peut rapidement prendre du temps au fur et à mesure que la quantité de données traitées par votre entreprise augmente. Toutefois, si vous ne gérez qu'une petite quantité de données et que vous ne travaillez pas avec de nombreux fournisseurs externes, il s'agit également d'une technique moins gourmande en ressources. Tout ce dont vous avez besoin, c'est d'un tableur et d'un programme graphique de base, comme Microsoft Excel et les organigrammes proposés par Microsoft Word.

Cartographie automatisée des données

L'autre solution consiste à utiliser un outil de cartographie des données spécialisé qui automatise le processus. La plupart des programmes de cartographie des données analysent les systèmes de votre entreprise à la recherche de toutes les sources de données, des informations stockées et des détails concernant ces informations. Ils compilent ensuite ces informations dans une carte générée automatiquement qui couvre tous les détails de la façon dont vous traitez les données.

Il vous suffit d'examiner les résultats du programme et d'affiner certains éléments tels que les noms donnés aux responsables et les processus de données.

La cartographie automatisée des données demande plus de ressources, mais elle est aussi plus rapide et plus précise pour la plupart des grandes organisations.

Vous devrez vous assurer que l'outil est sécurisé et vous devrez probablement payer pour l'utiliser. En contrepartie, vous réduirez le temps passé à rédiger des enquêtes, à rassembler les réponses et à saisir manuellement les données, ce qui vous permettra d'établir une carte avec moins d'erreurs humaines.

Utilisation d'un outil de cartographie des données

Les outils que vous utilisez pour réaliser la cartographie des données affecteront chaque partie du processus. Bien qu'il soit possible d'effectuer la cartographie des données à la main, cela n'est pas pratique pour la plupart des grandes organisations.

La solution consiste à utiliser un outil de cartographie des données pour gérer les détails à votre place.

Avec un logiciel de cartographie des données, la responsabilité de relier les points incombe à l'ordinateur. Il vous suffit de sécuriser le programme, de lui donner les autorisations nécessaires pour analyser vos systèmes, puis de choisir le format de votre carte.

Comment le bon outil de cartographie des données peut aider

Le choix du bon outil de cartographie de données peut faire toute la différence dans la rapidité et la précision avec lesquelles vous pouvez produire vos cartes de données. Lorsque vous travaillez avec le bon outil, vous pouvez vous attendre à des avantages tels que :

• Analyse rationalisée des données : Vous devez suivre des données provenant de dizaines, voire de centaines de sources différentes dans votre carte de données. Ces données apparaîtront dans de nombreux formats différents qui devront être réconciliés dans une carte unique. Un bon outil de cartographie des données prendra en charge la transformation de ces données et rationalisera le processus d'analyse en veillant à ce que toutes les données soient compilées avec précision dans une source unique.
• Une meilleure transparence : L'objectif d'une cartographie des données est de clarifier la manière dont vous collectez, utilisez, stockez et envoyez les informations. Un excellent outil de cartographie des données contribuera à rendre chaque étape de ce processus plus transparente. Vos analystes doivent pouvoir utiliser l'outil pour vérifier chaque étape du processus et confirmer les détails de ce que la carte de données globale indique. Cette transparence peut vous aider à repérer les erreurs, les pépins et les risques potentiels, ce qu'un outil plus opaque ne pourrait pas faire.
• Facilité de mise à jour : La cartographie des données doit être réalisée régulièrement. Un bon outil vous permettra d'effectuer facilement des mises à jour régulières de vos cartes et de suivre les changements apportés à chaque mise à jour afin de savoir comment votre organisation s'améliore. Il doit également vous aider à prévenir la perte de données en sauvegardant les anciennes cartes et en vous permettant de revenir aux versions précédentes en cas de corruption de fichiers ou d'erreurs.

Ce qu'il faut rechercher dans un bon outil de cartographie des données

La cartographie des données devant être effectuée régulièrement, le choix d'un bon outil vous permettra d'économiser beaucoup de temps et d'efforts. Mais, bien entendu, tous les outils de cartographie des données n'ont pas la même valeur.

Vous devez choisir un logiciel de cartographie de données de haute qualité, sinon vous risquez de gaspiller plus de ressources que vous n'en économisez.

Mais à quoi ressemble un bon outil de cartographie des données GDPR ? Lorsque vous faites votre choix, vous devez prendre en compte des éléments tels que :

• Facilité d'utilisation : Tout outil que vous devez utiliser régulièrement doit être intuitif et facile à utiliser. Les meilleurs outils de cartographie de données facilitent la saisie des données, la lecture des résultats et la personnalisation de l'expérience. Cela vous permet de répondre aux demandes régulières de cartographie de données en moins de temps, à chaque fois.
• Flexibilité : Les meilleurs outils doivent également être flexibles. Vous aurez probablement besoin d'un programme capable de fonctionner avec un large éventail de formats de fichiers lorsque vous téléchargerez des informations. Le programme de cartographie des données qui vous convient doit être suffisamment souple pour gérer les formats que vous utilisez le plus souvent, qu'il s'agisse de fichiers XML, JSON, Excel, SQL, SAP, SAS ou Microsoft CRM.
• Automatisation : Les meilleurs outils de cartographie de données vous évitent de perdre du temps. Ces programmes offrent des capacités d'automatisation pour exécuter de nouveaux rapports de cartographie de données à votre place. Vous pouvez trouver des programmes qui exécutent automatiquement de nouveaux rapports certains jours ou après des événements spécifiques. Grâce à ces programmes, la cartographie des données est presque entièrement prise en charge, ce qui permet de rationaliser le processus et de le faire passer de plusieurs jours ou semaines à quelques heures seulement.

Ressources pour la cartographie des données

En matière de cartographie des données, il existe des ressources gratuites et payantes disponibles en ligne.

Si vous réalisez la cartographie des données de votre entreprise en interne sans avoir recours à un logiciel spécialisé, voici quelques sources où vous pourrez trouver des documents gratuits et des feuilles de cartographie des données dans Excel pour vous aider à démarrer vos efforts :

• Commissaire à l'information de l'île de Man : Vous trouverez ici des guides utiles sur la cartographie des données, ainsi que des modèles de documents de cartographie des données imprimables que vous pouvez remplir avec les informations correspondantes de votre entreprise.
• Information Commissioner's Office (ICO) du Royaume-Uni : L'ICO propose un guide détaillé, comprenant des listes de contrôle et des modèles de documentation téléchargeables pour les responsables du traitement des données et les responsables du contrôle des données.
• Outil de cartographie des données de l'IAPP : Bien que cette ressource soit techniquement gratuite, vous devez être membre de l'IAPP pour y accéder. Vous pouvez accéder à une démonstration gratuite de l'outil pour voir si l'adhésion à l'IAPP vaut la peine d'utiliser l'outil.
• Livre vert sur la cartographie des données de la gouvernance informatique : Ici, vous pouvez trouver un livre vert gratuit sur la cartographie des données ou accéder à l'un de leurs outils payants de cartographie des données.
• Livre électronique sur la cartographie des données d'Astera : En échange de vos coordonnées, vous pouvez télécharger gratuitement un livre électronique sur les tenants et aboutissants de la cartographie des données d'Astera.
• Pinterest : Ce n'est peut-être pas le premier endroit où l'on pense à chercher, mais Pinterest héberge une variété de modèles de flux de données, de listes de contrôle, de feuilles de calcul et d'infographies gratuits.

Si vous êtes prêt à débourser un peu d'argent pour la mise en conformité de votre organisation avec le GDPR , voici quelques outils payants de cartographie des données qui peuvent vous aider :

• Gouvernance informatique Audit des flux de données
• Outil de cartographie des flux de données de Vigilant Software
• Cartographie des données Astera

Améliorer la cartographie des données

Ces dernières années, le monde a ressenti les effets du GDPR et de l'évolution des normes de confidentialité qui en a découlé. Se conformer à cette réglementation massive peut sembler un objectif inatteignable, mais aborder le GDPR pièce par pièce aidera votre entreprise à s'adapter à l'évolution des normes de confidentialité et aux demandes des clients.

L'une des mesures les plus importantes que vous pouvez prendre pour y parvenir est de cartographier vos données. Il s'agit non seulement d'une étape cruciale vers la conformité au GDPR , mais aussi d'une bonne pratique commerciale. Comprendre l'intersection de la cartographie des données et de la conformité au GDPR et tirer parti des outils et des ressources ci-dessus contribuera en fin de compte à protéger les données de vos utilisateurs - et votre entreprise.

En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur