Remplir votre fiche de traitement

Pour créer votre fiche de traitement, il suffit de remplir les différentes informations demandées. Prenons l’exemple d’un traitement de données à caractère personnel ayant pour finalité le marketing direct aux prospects et déroulons les différentes étapes à suivre pour créer le registre en quelques minutes. 

1- La finalité du traitement (purpose)

Vous devez choisir la finalité du traitement que vous allez effectuer, dans notre exemple, la finalité est le Marketing direct aux prospects (General direct marketing). 

Si vous voulez en savoir plus sur la finalité du traitement et comment la déterminer : https://www.cnil.fr/fr/definir-une-finalite.

Nous avons pré-intégré dans la console les finalités des traitements les plus courants mais vous pouvez ajouter un nouveau type de finalité qui correspond mieux au but poursuivi pour le traitement que vous souhaitez effectuer. 

Pour cela cliquer sur NEW PURPOSE+ entrez la nouvelle finalité et cliquez sur SAVE.

2- Personnes concernées par le traitement 

Entrez ensuite les personnes dont vous collectez les données. Par exemple pour un traitement de données pour le Marketing direct aux prospects, vous collectez les données des prospects, sélectionnez alors Prospects.

Là encore, si vous souhaitez créer une nouvelle catégorie de personne, cliquez sur NEW PERSON+ entrez la nouvelle catégorie de personne et sauvegardez.

3- Catégorie de données traitées

Pour ajouter une catégorie de données, cliquez sur ADD NEW TYPE OF DATA.

Vous aurez ensuite 4 champs à remplir:

A- Les catégories de données traitées (1)

Les catégories de données sont le type de données des utilisateurs que vous collectez. Par exemple les données d’identités et de contact, les identifiants de connexion, les données sensibles, les données relatives au contentieux, etc. 

Nous avons établi une liste de catégories de données au regard des traitements les plus courants mais vous pouvez créer votre propre catégorie en cliquant sur +ADD NEW CATEGORY OF DATA.

Pour le traitement Marketing direct aux prospects impliquant habituellement l’envoi d’e-mail, vous pouvez par exemple sélectionner « Identité et contact ». 

B. Les sources externes (external sources) (2) 

Les sources externes sont les entités qui vous fournissent des données sur les personnes. Vous devez remplir ce champ dès que les données que vous collectez proviennent d’une autre source que la personne concernée elle-même.

Vous pouvez créer votre propre source externe en cliquant sur Create a new partner+. 

Premièrement, entrez le nom de votre partenaire. Puis sélectionnez la catégorie à laquelle ce partenaire appartient (filiale ou fournisseur de service par exemple). 

Ensuite entrez le pays puis le type de protection. Si votre partenaire est basé dans l’Union européenne vous n’avez pas besoin de remplir le type de protection. Pour en savoir plus sur les différentes protections : https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue.  

Entrez également l’adresse du siège social de l’entreprise ainsi qu’une adresse mail ou un numéro de téléphone de contact (de préférence l’adresse du DPO ou une adresse privacy). 

Indiquez l’adresse URL du site internet du partenaire, l’adresse URL de sa politique de confidentialité (que vous pouvez trouver sur le site internet souvent en bas de page), les conditions générales (également disponibles sur le site internet), le lien de l’opt-out le cas échéant (lien proposé par le partenaire pour s’opposer aux cookies). 

Entrez également le lien vers les clauses spécifiques en matière de données à caractère personnel (DPA pour data processing agreement) qui sont les clauses qui contractualisent les relations entre un prestataire de service (sous-traitant) et ses clients (responsables de traitement). 

Enfin vous trouverez parfois une liste des sous-traitants avec lesquels travaille votre partenaire (les sous-traitants sont tenus par le RGPD d’informer les responsables des sous-traitants avec lesquels eux-mêmes travaillent) : vous pouvez entrer le lien dans le champ List of Subcontractors.

C- Les destinataires (recipients) (3)

Les destinataires sont les entités auxquelles les données personnelles sont transférées ou rendues accessibles. Vous pouvez créer votre propre destinataire si vous ne le trouvez pas dans la liste. Pour cela cliquez sur Create a new partner+.

Les étapes seront identiques à celles évoquées ci-dessus lorsque vous créez une source externe. A noter : une même entité peut être à la fois destinataire (vous lui envoyez des e-mails par exemple) et source externe (elle vous renvoie des informations complémentaires) et devra lors être renseignée dans chaque colonne.

D- La durée de rétention des données (4)

La durée de rétention des données est la durée pendant laquelle vous conservez les données que vous avez collectées. 

La durée de rétention des données doit être définie lorsque que vous créez un nouveau traitement. La durée de conservation est variable et dépend de la nature des données et des finalités poursuivies. La CNIL émet certaines recommandations sur ces sujets : par exemple, les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées.

Si vous souhaitez avoir plus d’informations sur la durée de rétention rendez-vous sur https://www.cnil.fr/fr/limiter-la-conservation-des-donnees et sur https://www.cnil.fr/sites/default/files/typo/document/20120719-REF-DUREE_CONSERVATION-VD.pdf qui est un référentiel des durées de conservation en fonction des différents traitements classés par secteur d’activité (Ressources humaines, social, santé, commercial et marketing etc).

4- Base légale

L’article 6 du RGPD dispose qu’une entité ne peut traiter des données personnelles que dans certaines hypothèses impliquant toutes une nécessité: c’est la base légale du traitement (pour plus d'information sur la base légale vous pouvez consulter cet article). Pour ajouter une base légale à votre traitement cliquez sur le champ « Legal basis » et choisissez une option dans le menu déroulant. Vous pouvez également ajouter des détails concernant votre base légale.

Vous pouvez effectuer un traitement reposant sur : 

  1. La nécessité à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci (exemple: l’adresse pour une livraison)
  2. La nécessité au respect d'une obligation légale (exemple: le NIR pour la fiche de paie)
  3. La nécessité à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique (exemple: le nom pour une hospitalisation)
  4. La nécessité à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable (exemple: situation fiscale par le service des impôts)
  5. La nécessité aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée (exemple: données de connexion à des fins statistiques)

A défaut d’une telle nécessité, la personne concernée doit consentir de façon expresse (acte positif).

Dans certains cas, les possibilités de traiter les données sont encore plus restreintes : 

  • l’article 9 du RGPD précise les cas dans lesquels peuvent être traitées des données sensibles, 
  • l’article 10 du RGPD précise les cas dans lesquels peuvent être traitées des données relatives à des infractions, 
  • l’article 22 du RGPD précise les cas dans lesquels des données peuvent être traitées afin de prendre une décision automatisée ayant des effets juridiques ou significatifs sur la personne,
  • la législation ePrivacy les cas dans lesquels peuvent être traitées les données liées au contexte de communications électroniques.

Nous avons classé les bases légales en fonction de ces  situations. Par exemple si vous traitez des données sensibles (sensitive data) vous aurez les bases légales possibles pour ce traitement de données spécifiques. 

Pour le traitement de Marketing direct aux prospects, vous pouvez sélectionner la base légale « consentement » dans le champ des données non sensibles. Plus d’informations sur les règles en matière de marketing direct : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique.

5- Mesures de sécurité et analyse d’impact

A- Mesures de sécurité

L’article 32 du RGPD prévoit que le responsable du fichier est astreint à une obligation de sécurité : il doit notamment prendre les mesures nécessaires pour garantir la sécurité des données et éviter leur divulgation à des tiers non autorisés (par exemple la pseudonymisation et le chiffrement des données à caractère personnel; les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement, etc.).

L’article 30 du RGPD préconise, pour chaque traitement, dans la mesure du possible, une description générale des  mesures de sécurité techniques et organisationnelles mises en place en vertu de l’obligation prévue par l'article. Pour ajouter une mesure de sécurité cliquez sur le menu déroulant en dessous de « SECURITY MEASURES ».

Nous avons établi une liste des mesures de sécurité les plus courantes. Vous pouvez en ajouter en cliquant sur NEW SECURITY MEASURE+.

B- Analyse d’impact (PIA)

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (PIA ou Privacy Impact Assessment), lorsqu‘un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.

Nous avons établi une liste dans laquelle nous vous indiquons lorsqu’un PIA est conseillé, impératif ou non nécessaire (selon les recommandations du G29). 

Si vous souhaitez avoir plus d’informations sur l’analyse d’impact rendez-vous sur https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-dpia. La CNIL propose également un logiciel vous permettant de mener à bien vos PIA, vous pouvez le télécharger à l’adresse suivante : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.   

Pour un traitement de Marketing direct aux prospects pour lequel vous collectez des  données d’« Identité et contact », un PIA ne sera pas nécessaire sauf circonstances exceptionnelles.

6- Durée de rétention globale

Pour finir, vous devez indiquer une durée de rétention globale, laquelle apparaîtra dans votre Privacy Center à l’intention des personnes concernées. 

Lorsque les données que vous collectez ont des durées de rétention différentes dans un même traitement, il est conseillé d’inscrire la durée la plus longue afin de ne jamais afficher d'informations trompeuses à l'utilisateur. 

Pour un traitement de Marketing direct aux prospects, la durée de rétention conseillée par la CNIL est de trois ans à compter du dernier contact par le prospect.

En cliquant sur Settings vous avez accès à toutes les données de type sources externes, destinataires, personnes, finalités, catégories de données et mesures de sécurité que vous avez créés pour vos différents traitement. Vous pouvez également en ajouter ainsi que les modifier ou les supprimer.

Une fois que vous avez fini de paramétrer votre traitement, vous pouvez le sauvegarder en cliquant sur SAVE & VALIDATE en bas à droite de votre écran.