Comment gérer vos données ?
Cette page vous propose une série de ressources utiles à la définition et à la mise en œuvre de votre projet. Vous apprendrez à gérer vos données en conformité avec le RGPD, et notamment comment définir les données à collecter et comment cartographier les traitements de données que vous mettez en œuvre pour vos activités.
Comment gérer et cartographier vos données ?
-
Construire mon registre et ma cartographie des données
Il est obligatoire de tenir un registre des traitements (article 30 du RGPD). Pour les entreprises de moins de 250 salariés, il existe des dérogations (limitées à des cas très particuliers de traitements) : voir « Le registre des activités de traitement ».
Le registre est un document de recensement et d’analyse, qui doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :
- les parties prenantes ;
- les catégories de données traitées ;
- à quoi elles servent, qui accède aux données, et à qui elles sont communiquées ;
- leurs durées de conservation ;
- comment elles sont sécurisées.
Au-delà d’une simple obligation juridique, le registre est surtout un outil de pilotage de votre conformité au RGPD. Il vous permet de documenter et disposer d’une vue d’ensemble de la manière dont vous traitez vos données.
La CNIL propose des modèles de registre.
Aller plus loin :
-
Définir une finalité pour les données
La finalité correspond à l’usage que vous allez faire de vos données : elle devra être respectée tout au long de la construction et de l'utilisation du traitement. Cette finalité doit être claire, compréhensible et respectée : vous ne pouvez pas utiliser vos données pour un autre objectif que celui qui a été défini.
Aller plus loin :
-
Vérifier la pertinence des données
Il faut collecter uniquement ce dont vous avez strictement besoin pour répondre à l’objectif défini.
Aller plus loin :
-
S’agit-il d’une donnée sensible ?
Les données sensibles sont les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale. Ce sont également les données génétiques, les données biométriques aux fins d’identifier une personne de manière unique, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle.
Du fait de leur sensibilité, le traitement de ces données n’est possible que dans des cas très limités.
Aller plus loin :
Devez-vous effectuer une analyse d’impact sur la protection des données, et comment ?
Lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d’impact sur la protection des données (DPIA - Data Protection Impact Assessment - Analyse d’impact relative à la protection des données - AIPD ou PIA) doit être menée.
Pour vérifier que votre traitement nécessite cette analyse d’impact :
- Soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données.
- Soit le traitement remplit au moins deux des neuf critères issus des lignes directrices endossées par le CEPD (Comité européen de la protection des données) :
- évaluation/scoring (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ou données à caractère hautement personnel ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
La CNIL met à disposition un logiciel open source PIA pour vous permettre de faire votre AIPD.
Aller plus loin :
Comment mettre en place la portabilité des données ?
Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les récupérer pour leur usage personnel, les stocker sur un appareil ou un cloud privé par exemple. Elles peuvent également choisir de transférer ses données personnelles d’un organisme à un autre, soit par la personne elle-même, soit directement par l’organisme qui détient les données, si ce transfert direct est « techniquement possible ». Vérifiez quelles sont les données de votre service concernées par la portabilité et comment ce droit doit-il être appliqué sur la page : Le droit à la portabilité en questions
Aller plus loin :
Comment gérer les transferts de données hors Union eEuropéenne ?
Vous pouvez dans le cadre des activités de votre startup être amené à effectuer des transferts de données hors de l’Union européenne (UE) et de l’Espace éEconomique eEuropéen (EEE). Si les données peuvent circuler librement dans l’UE/EEE, les transferts hors de cet espace sont possibles, à condition d’assurer un niveau de protection des données suffisant et approprié. LDes transferts qui doivent être encadrés en utilisant différents outils juridiques.
Aller plus loin :