Identifier ses données personnelles – RGPD : Par où commencer ?

Lorsque vous initiez un projet de mise en conformité au RGPD, vous ne savez pas toujours où sont stockées vos données :

• Vous ne connaissez pas l'emplacement exact des données : Vos progiciels (ERP, CRM, etc.) contiennent des données, mais vous ignorez où elles sont précisément stockées.
• Les éditeurs de logiciels peuvent ne pas pouvoir localiser les données : Dans certains cas, l’éditeur de la solution n’est pas en mesure de localiser les données dans la base, souvent à cause d'une personnalisation ou d'une maîtrise partielle du framework de stockage.

Dans ce contexte, la découverte de données personnelles devient essentielle. En scannant les bases et fichiers selon des algorithmes définis, le logiciel identifie les sources de données et vous aide à constituer votre registre de données pour commencer la mise en conformité.

Selon la CNIL, « le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles ». Il est prévu par l’article 30 du RGPD, et participe à la documentation de la conformité.

Pour constituer votre registre, identifiez et indiquez les informations suivantes :

La constitution de ce registre peut être facilitée par un logiciel de détection des données qui permettra de définir une base technique du travail à effectuer. La connaissance des sources de données et du type de données stockées permettra de catégoriser plus facilement les données, et le risque d’oubli d’une partie des données en sera diminué.

Le principal défi de la détection des données réside dans l’exhaustivité des sources de données et des règles de détection.

On appelle sources de données tous les endroits où sont conservées les informations :

Ce recensement ne doit pas être négligé : plus il est détaillé, plus la détection des données sera efficace.

Il est important de préciser que les données personnelles protégées par le RGPD ne se limitent pas aux seules données sensibles (opinions politiques, origine raciale, orientation sexuelle, religion…), dont le recueil est en principe interdit sauf exceptions. Toute information permettant d’identifier une personne est considérée comme donnée personnelle, qu'elle soit :

Les règles de détection permettent d'identifier ces données, qu'elles soient directes ou quasi-directes, et de garantir leur protection conformément au RGPD.

On retrouve souvent ces données sous des formats spécifiques, détectables par divers procédés informatiques, par exemple :

Il conviendra ensuite de protéger ces données personnelles dans leur utilisation première et de ne pas les utiliser pour autre chose, excepté si elles sont découplées des données identifiantes (donc anonymisées).

Le choix d’une solution de détection de données personnelles repose sur plusieurs critères :

Le RGPD ne demande pas d’anonymiser toutes les données de l’entreprise, mais seulement celles qui sortent du cadre de la finalité de leur collecte. Il est donc essentiel de bien définir l'étendue du projet pour éviter des coûts excessifs.

En conclusion, la détection des données personnelles et sa gestion sont des étapes essentielles pour toute entreprise souhaitant respecter le RGPD. Choisir les bonnes solutions de détection et de gestion de données, adaptées aux besoins spécifiques de votre entreprise, est primordial pour garantir une conformité optimale. Contactez-nous pour en savoir plus sur nos outils de découverte de données RGPD et commencer dès aujourd'hui à sécuriser vos données personnelles.