COMPÉTENCE B3.

1
SÉQUENCE 2 - ACCOMPAGNER
LE RESPONSABLE DE TRAITEMENT
DES DONNÉES DANS LA MISE EN ŒUVRE DU PROJET RGPD

SYNTHÈSE

NOTIONS CLÉS
— Cartographie des traitements de données à caractère personnel
— Réglementation en matière de collecte, traitement et de conservation des données à caractère
personnel
— Conformité des traitements

Rappels théoriques
La mise en place du RGPD au sein d’une organisation est un projet transversal qui implique tous les
acteurs de l’organisation.
L’objectif du RGPD est d’encadrer les pratiques relatives au traitement et à la sécurité de l’ensemble
des données à caractère personnel. Bien plus que de s’intéresser aux données le RGPD s’intéresse aux
traitements allant de leur collecte à leur stockage, de leur utilisation à leur destruction.
L’analyse seule des applications n’est pas suffisante pour déterminer les informations qui entrent dans
le cadre du RGPD. C’est pourquoi, il faut aussi s’intéresser à toutes les composantes de l’entreprise
qui sont, de près ou de loin, concernées par ces pratiques, des ressources humaines au juridique, en
passant par la finance/comptabilité fournisseurs, la DSI et le marketing/commercial.
La première étape consiste à désigner un DPO qui sera en charge de cadrer le projet, de définir le
périmètre d’application et d’analyser les conséquences sur l’organisation.
Lors de cette première étape le DPO va identifier tous les interlocuteurs, les responsables de traitement,
les éventuels représentants des responsables du traitement, etc.
La deuxième étape consiste à effectuer une cartographie des traitements utilisés et à qualifier les
pratiques en matière de traitement des données personnelles. Il faudra définir comment sont collectées
les données, où sont-elles stockées, quels sont le type de données, la durée de conservation, les
différents transferts et flux de données, la finalité de leur utilisation et les mesures de sécurité mises
en place. Cette analyse devra s’effectuer non seulement sur les données traitées directement par
l’organisation, mais aussi sur les données transférées à des sous-traitants ou prestataires externes.
La troisième étape consiste à identifier les éléments non conformes et à construire un plan d’action,
dans lequel sont listées et planifiées les différentes démarches à effectuer pour être en conformité avec
le RGPD.
La quatrième étape consiste à gérer les risques et analyser les pratiques susceptibles d'engendrer des
risques élevés pour les droits et libertés des personnes concernées.
La cinquième étape consiste à sécuriser les données.

CNED – BTS SIO – BLOC 3 – B3.1 – SÉQUENCE 2 – Synthèse – 1

Enfin, la sixième et dernière étape consiste à documenter. Pour prouver la conformité au règlement, il
faut constituer et regrouper la documentation nécessaire.

CNED – BTS SIO – BLOC 3 – B3.1 – SÉQUENCE 2 – Synthèse – 2

Les cours du CNED sont strictement réservés à l’usage privé de leurs destinataires et ne sont pas destinés à une utilisation collec-
tive. Les personnes qui s’en serviraient pour d’autres usages, qui en feraient une reproduction intégrale ou partielle, une traduc-
tion sans le consentement du CNED, s’exposeraient à des poursuites judiciaires et aux sanctions pénales prévues par le Code de la
propriété intellectuelle. Les reproductions par reprographie de livres et de périodiques protégés contenues dans cet ouvrage sont effec-
tuées par le CNED avec l’autorisation du Centre français d’exploitation du droit de copie (20, rue des Grands-Augustins, 75006 Paris).
CNED, BP 60200, 86980 Futuroscope Chasseneuil Cedex, France
© CNED 2022 87631FSWB1222