Centre d'aide

DLD RGPD

Conformité / Traitements

Rédiger un traitement conforme à l'Article 30 du RGPD

Comment rédiger un traitement conforme à l'Article 30 du RGPD en suivant pas à pas les différentes étapes du traitement

Cet article s'adresse aux rédacteurs de traitements.

Pour que votre traitement soit conforme à l'Article 30 du RGPD, vous devez répondre à ces questions dans la fiche de traitement :

Quelles sont les données que vous collectez ?

A qui elles s'appliquent ?

Pourquoi ?

Qui y a accès ?

Quelles mesures de sécurité sont mises en place pour les protéger ?

Ces questions sont représentées par différentes étapes sur la fiche de traitement.

Préambule - Création de la fiche de traitement

Cliquez sur le menu Traitements dans la colonne de gauche puis Ajouter un traitement en haut à droite.

Une fenêtre s'ouvre. C'est la fenêtre de création du traitement.

Renseignez le nom du traitement, votre qualification : responsable ou sous-traitant, le domaine auquel il est rattaché, les rédacteurs/validateurs.
Sélectionnez le mode Standard pour rédiger un traitement conforme à l'article 30, en sélectionnant le mode étendu vous pourrez ajouter des informations supplémentaires à votre traitement.
Cliquez sur Valider.

Le mode Etendu vous permet d'ajouter des étapes au traitement qui peuvent être nécessaires dans certains cas : demandes d'exercice de droit, analyses d'impact, etc.

Vous êtes directement redirigé sur la fiche de traitement. Elle sera également accessible depuis les menus Traitements et Registre.

Dans l'encadré à gauche, vous retrouvez toutes les étapes du traitement.

En cliquant sur ce petit stylet vous ouvrirez la page de modification du traitement et vous pourrez passer de RT à ST ou du mode standard au mode étendu. Mais aussi modifier le nom du traitement, son domaine et ses rédacteurs/validateurs.

LES ETAPES DU TRAITEMENT

Identification
Finalités
Données
Droits des personnes
Destinataires
Flux transfrontaliers
Mesures de sécurité
Analyses d'impact
Remarques

Identification

A cette étape, vous pouvez modifier le domaine auquel est rattaché le traitement via le menu déroulant.

Vous devez surtout définir la ou les Personnes en charge.

Cliquez sur Ajouter un contact ou un service.

Une fenêtre s'ouvre sur la droite, ce sont les référentiels Services et Contacts.

Cochez les cases correspondantes aux services et aux contacts qui sont en charge de ce traitement.
Cliquez sur Valider.

Dès que vous renseignez au moins un service ou un contact, la bulle d'aide de complétion passe à 100%.

Il y a une bulle d'aide de complétion à chaque étape. Le but est d'atteindre les 100% à chaque étape. En la survolant avec la souris, les champs manquant pour arriver à 100% vous sont indiqués !

Si vous passez en mode étendu, Vous pourrez ajouter des informations complémentaires et une seconde bulle d'aide de complétion apparaitra. Cette bulle correspond au taux de complétion de l'étape en cours en mode étendu.

Finalités

A cette étape, il faut renseigner les raisons pour lesquelles vous collectez des données.

Cliquez sur Ajouter une finalité.

Renseignez au moins une finalité dans la barre qui s'est ouverte.
Cliquez sur Valider.

Les bulles d'aide de complétion de l'étape finalités se mettent à jour.

Les bulles d'aide de complétion sur la gauche de l'écran se mettent à jour également. Ces bulles correspondent au taux de complétion du traitement dans son ensemble.

En cliquant sur la bulle, une fenêtre s'ouvrira sur la droite vous donnant le détail de la complétion de chaque étape.

Données

A cette étape, il faut renseigner les données collectées pour ce traitement et les personnes qui sont concernées par cette collecte de données. Mais aussi la durée de conservation des données collectées.

Catégories de personnes

Cliquez sur Ajouter une catégorie de personnes.

Une fenêtre s'ouvre sur la droite, c'est le menu des catégories de personnes. Plus d'informations sur ce menu dans cet article : Catégories de personnes

Cochez les cases correspondantes aux catégories de personnes concernées par les données collectées pour ce traitement.
Cliquez sur Valider.

Catégories de données

Cliquez ensuite sur Ajouter des catégories de données.

Une fenêtre s'ouvre sur la droite, c'est le référentiel des catégories de données.

Cochez les cases correspondantes aux données collectées pour ce traitement.
Cliquez sur Valider.

Si vous rédigez votre traitement en mode étendu, vous pouvez renseigner les différentes typologies de données à l'intérieur de la catégorie de données.

Cliquez sur la catégorie de données ou sur la petite flèche sur la droite de la catégorie de données pour la déplier. Ensuite cliquez sur Ajouter et cochez les cases qui correspondent aux typologies de données que vous collectez.

Durée de conservation

La durée de conservation peut être identique ou spécifique pour chaque catégorie de données.

Elle peut être qualifiable ou quantifiable.

Sélectionner Identique ou Spécifique.

Sélectionner Qualifiable ou Quantifiable.

Si vous avez sélectionné Quantifiable, complétez une durée et rédigez éventuellement un commentaire.
Utilisez le menu déroulant pour définir si la durée de conservation est en jours, semaines, mois ou années.

Si vous avez sélectionné Qualifiable, rédigez un commentaire

Si vous avez sélectionné une durée de conservation spécifique à chaque catégorie de données, il faudra répéter cette opération pour chaque catégorie de données.

Droits des personnes

Cette étape est disponible uniquement en mode étendu.

Demandes d'exercice autorisées

Cliquez sur Demandes d'exercice autorisées.
Cochez les cases correspondantes aux demandes d'exercice de droit susceptibles d'être formulées pour ce traitement.

Mesures prises

Cliquez sur Mesures prises.
Cochez les cases qui correspondent aux mesures prises pour informer les personnes de leurs droits.

Voies d'accès

Cliquez sur Voies d'accès.
Cochez les cases correspondantes aux voies d'accès que les personnes peuvent utiliser pour exercer leurs droits.

Destinataires

A cette étape, il faut renseigner qui a accès aux données que vous collectez.

Il y a les destinataires internes qui font partie de votre entreprise et les destinataires externes qui sont des tiers.

Cliquez sur Internes.
Cliquez sur Ajouter.

Une fenêtre s'ouvre sur la droite, ce sont les référentiels Services et Contacts.

Cochez les cases correspondantes aux services et aux contacts qui ont accès aux données collectées.
Cliquez sur Valider.

Si des tiers ont accès aux données que vous collectez, cliquez sur Externes puis Ajouter.

Une fenêtre s'ouvre sur la droite. C'est le référentiel des tiers.

Cochez les cases correspondantes aux Tiers qui ont accès aux données que vous collectez pour ce traitement.
Cliquez sur Valider.

Utilisez le menu déroulant pour renseigner la qualification du tiers.

Flux Transfrontaliers

A cette étape, il faut définir si des données sont transmises hors UE.

Cochez Oui, Non ou Ne sait pas.

Si vous avez coché Oui.

Cliquez sur Ajouter un destinataire.
Cliquez sur le ou les Tiers qui sont situés hors UE et qui traitent les données que vous collectez pour ce traitement.

Via le menu déroulant, sélectionnez la garantie juridique qui protège les données collectées.

Si la garantie juridique n'est pas présente, utilisez la barre pour en rédiger une nouvelle et cliquez sur Ajouter.

Mesures de sécurité

A cette étape, il faut renseigner les mesures de sécurité qui sont mises en place pour protéger les données que vous collectez.

Ajouter une mesure générale

Cliquez sur Ajouter une mesure générale.

Une fenêtre s'ouvre sur la droite, c'est le menu des mesures de sécurité. Plus d'informations sur les mesures de sécurité dans cet article : Mesures de sécurité

Cochez les cases correspondantes aux mesures de sécurité mises en place pour protéger les données que vous collectez.
Cliquez sur Valider.

Ajouter une mesure de sécurité via un site, un matériel ou un logiciel.

Cliquez sur Ajouter via un site, logiciel ou matériel.

Une fenêtre s'ouvre sur la droite. Ce sont les référentiels sites, matériels et logiciels.

Cochez les cases correspondantes aux sites, matériels et logiciels que vous utilisez pour traiter les données collectées pour ce traitement.
Cliquez sur Valider.

Si vos référentiels sont correctement complétés, les mesures de sécurité sont directement associés aux sites, logiciels et matériels !

Analyse d'impact

Cette étape est disponible uniquement en mode étendu.

Vous pouvez ajouter une analyse d'impact depuis le traitement.

Indiquez si l'analyse d'impact a été réalisée, si elle est à faire, si elle est en cours ou si elle est non applicable.

A cette étape vous pouvez directement créer une analyse d'impact depuis votre traitement.

Cliquez sur Ajouter à droite de PIA associés au traitement.

Une fenêtre s'ouvre sur la droite. C'est la fenêtre de création de l'analyse d'impact.

Nommez votre analyse d'impact
Renseignez les rédacteurs/évaluateurs/validateurs.
Cliquez sur Valider.

Vous serez automatiquement redirigé vers l'analyse d'impact qui vient d'être créée et qui est reliée au traitement depuis lequel elle a été créée.

Remarques

A cette étape, vous pouvez renseigner tous les éléments qui vous semblent pertinents pour ce traitement. Le champ Remarques apparaitra dans l'export PDF ou Excel du traitement.