Étape 2 - Entre juillet et septembre 2017: cartographier les traitements de données personnelles, analyser la conformité de ces traitements et les risques associés
La tenue d'un registre des traitements mis en oeuvre dans l'entreprise est une des clés de voute du Règlement. Afin d'élaborer ce registre, les acteurs devront lister pour chaque traitement de données personnelles:
- la finalité du traitement (les objectifs poursuivis);
- la nature des données traitées;
- les acteurs internes et externes qui traitent ces données;
- la localisation de ces données;
- les flux amont et aval (l'origine et la destination);
- les temps de conservation;
- le volume.
Pour apprécier la criticité de ces traitements, on se posera entre autres deux questions:
- Les données récoltées nécessitent-elles une vigilance accrue au regard du règlement (exemples: données de santé, de données biométriques, d'opinions politiques, données traitées de façon systématique aboutissant au profilage etc.)?
- Les données récoltées sont-elles strictement nécessaires à la poursuite des objectifs (principe de minimisation)?
Une fois les traitements à risque identifiés, il s'agira d'évaluer si les dispositifs de maîtrise de ces risques sont appropriés. On recensera les mesures de sécurité mises en place pour protéger notamment la confidentialité et l'intégrité des données, mais également les dispositions existantes pour respecter les exigences du Règlement relatives aux droits et libertés des personnes concernées.