La cartographie des données RGPD est le prérequis indispensable à toute démarche de conformité. Sans savoir quelles données personnelles vous traitez, où elles sont stockées, comment elles circulent et qui y accède, il est impossible de remplir les obligations de l’Art. 30 RGPD (registre des traitements), de l’Art. 35 (analyse d’impact) ou de l’Art. 33 (notification des violations). Ce guide propose une méthodologie structurée, distincte de la cartographie du SI qui porte sur l’infrastructure technique, pour se concentrer spécifiquement sur le data mapping orienté conformité RGPD.
Points Clés
- La cartographie des données RGPD identifie les catégories de données personnelles, leurs flux, leur localisation et les acteurs impliqués dans leur traitement.
- Elle constitue la base du registre des traitements requis par l’Art. 30 RGPD.
- La méthode combine trois approches : interviews métier, analyse technique des systèmes et questionnaires structurés.
- La cartographie doit être maintenue à jour : un inventaire obsolète est aussi problématique qu’une absence d’inventaire.
Pourquoi cartographier les données RGPD
Obligation légale
L’Art. 30 RGPD impose à tout responsable de traitement de tenir un registre des traitements contenant, pour chaque traitement : les finalités, les catégories de données, les catégories de destinataires, les transferts vers des pays tiers, les durées de conservation et les mesures de sécurité. Il est impossible de remplir ce registre sans avoir préalablement cartographié les données.
Gestion des incidents
L’Art. 33 RGPD impose de notifier les violations de données à l’autorité de contrôle dans les 72 heures. Sans cartographie, identifier les données impactées, les personnes concernées et les destinataires potentiellement affectés prend des jours voire des semaines. La CNIL a relevé à plusieurs reprises que l’absence de cartographie retardait la notification et aggravait les conséquences de la violation.
AIPD et base juridique
La réalisation d’une analyse d’impact (Art. 35 RGPD) requiert une connaissance précise des données traitées, de leur sensibilité et de leurs flux. De même, la vérification de la base juridique applicable à chaque traitement suppose de savoir exactement quelles données sont collectées et pour quelles finalités.
Méthodologie de cartographie des données
Phase 1 : Identification des processus métier
La cartographie commence par les processus, pas par les systèmes. Pour chaque direction métier (RH, marketing, commercial, IT, finance, juridique), identifiez :
- Les activités impliquant des données personnelles
- Les catégories de personnes concernées (clients, salariés, prospects, fournisseurs)
- Les types de données collectées par activité
Outil : matrice processus/données sous forme de tableau croisant les processus métier avec les catégories de données.
Phase 2 : Interviews et questionnaires
Les interviews sont le coeur de la cartographie. Elles permettent de capturer ce que les systèmes techniques ne révèlent pas : les traitements informels (fichiers Excel, emails), les pratiques réelles versus les procédures documentées.
Questionnaire type par direction :
- Quelles données personnelles collectez-vous ou recevez-vous ?
- Par quels canaux (formulaire web, email, téléphone, courrier) ?
- Où sont-elles stockées (application, serveur, cloud, support papier) ?
- Qui y accède dans votre service ? Hors de votre service ?
- À qui les transmettez-vous (sous-traitants, partenaires, autres services) ?
- Pendant combien de temps les conservez-vous ?
- Comment sont-elles protégées ?
Planifiez 1 à 2 heures par direction pour une PME, davantage pour une ETI ou un grand groupe.
Phase 3 : Analyse technique
L’analyse technique complète les interviews en identifiant les données traitées au niveau des systèmes d’information :
- Inventaire des bases de données : quelles tables contiennent des données personnelles, quels champs, quels volumes.
- Analyse des flux : cartographie des échanges de données entre applications (API, fichiers, ETL), avec les sous-traitants cloud et vers l’extérieur.
- Scan des partages réseau : identification des fichiers contenant des données personnelles stockés de manière non structurée (Excel, Word, PDF).
- Analyse des logs : identification des traces de données personnelles dans les journaux applicatifs et système.
Phase 4 : Catégorisation et classification
Une fois les données identifiées, catégorisez-les selon la nomenclature RGPD :
| Catégorie | Exemples | Sensibilité |
|---|---|---|
| Identification | Nom, prénom, email, téléphone | Standard |
| Vie professionnelle | Fonction, entreprise, CV | Standard |
| Données financières | IBAN, relevés, historique d’achats | Élevée |
| Données de connexion | Adresses IP, logs, cookies | Standard |
| Données sensibles (Art. 9) | Santé, opinions politiques, biométrie | Très élevée |
| Données d’infraction (Art. 10) | Casier judiciaire, condamnations | Très élevée |
Phase 5 : Cartographie des flux
La cartographie des flux de données est essentielle pour identifier les transferts internationaux, les sous-traitants et les risques de fuite. Pour chaque traitement, documentez :
- Émetteur : qui fournit ou génère les données
- Récepteur : qui les reçoit (interne ou externe)
- Canal : comment les données transitent (API, email, SFTP, accès direct)
- Localisation : où les données sont stockées (pays, data center)
- Protection : chiffrement en transit, chiffrement au repos
Outils de cartographie
Outils manuels : pour les petites structures, un tableur structuré (Excel/Google Sheets) avec des onglets par direction, un tableau de flux et un résumé par catégorie de données.
Outils spécialisés : les plateformes de conformité RGPD comme Legiscope automatisent la cartographie en analysant l’infrastructure et en structurant les résultats directement dans le registre des traitements. Legiscope utilise l’IA pour identifier les données personnelles dans les systèmes et pré-remplir la documentation. Découvrez la cartographie automatisée de Legiscope.
Outils techniques : pour la découverte automatique, des outils de data discovery (Varonis, BigID, OneTrust DataDiscovery) scannent les bases de données et systèmes de fichiers pour identifier les données personnelles.
Maintenance et mise à jour
La cartographie des données RGPD n’est pas un exercice ponctuel. L’Art. 30 RGPD impose que le registre soit tenu à jour. En pratique :
- Revue trimestrielle : vérification de la cohérence avec les évolutions du SI
- Mise à jour événementielle : nouveau traitement, nouveau sous-traitant, nouveau transfert
- Audit annuel : vérification complète de la cartographie par rapport aux systèmes en production
La CNIL vérifie lors de ses contrôles que le registre reflète la réalité des traitements. Un registre daté de deux ans qui ne mentionne pas des traitements déployés depuis constitue un manquement à l’Art. 30.
Erreurs courantes dans la cartographie
Se limiter aux systèmes déclarés : la cartographie doit inclure les traitements informels. Les fichiers Excel partagés par email, les listes de contacts dans les boîtes mail, les exports de données stockés sur des postes individuels constituent des traitements de données personnelles au même titre qu’une base CRM.
Ignorer les sous-traitants : chaque sous-traitant qui accède aux données personnelles doit figurer dans la cartographie. Cela inclut les prestataires cloud (IaaS, PaaS, SaaS), les éditeurs de logiciels, les prestataires de paie, les hébergeurs et les outils marketing.
Cartographier une seule fois : une cartographie statique perd sa valeur en quelques mois. Les équipes métier déploient régulièrement de nouveaux outils sans en informer le DPO. Un processus de notification systématique (« privacy by design gate ») à chaque nouveau projet est indispensable.
Confondre données et documents : la cartographie des données identifie les catégories de données personnelles (nom, email, adresse IP), pas les documents qui les contiennent. Un même document (facture, contrat) peut contenir plusieurs catégories de données relevant de finalités différentes.
FAQ
Quelle est la différence entre cartographie des données et cartographie du SI ?
La cartographie du SI recense l’infrastructure technique : serveurs, applications, réseaux, dépendances. La cartographie des données RGPD identifie spécifiquement les données personnelles : quelles données, dans quels systèmes, pour quelles finalités, avec quels flux. Les deux sont complémentaires, mais la cartographie des données est orientée conformité et nourrit directement le registre des traitements.
Combien de temps prend une cartographie des données RGPD ?
Pour une PME de 50 à 200 salariés avec 5 à 8 directions, comptez 3 à 6 semaines : une semaine de préparation (identification des interlocuteurs, questionnaires), deux à trois semaines d’interviews et d’analyse technique, une à deux semaines de synthèse et de formalisation. Les outils automatisés comme Legiscope réduisent significativement la phase d’analyse technique.
La cartographie est-elle obligatoire pour les TPE ?
Le RGPD n’impose pas explicitement une cartographie, mais l’Art. 30 impose un registre des traitements. Or, il est impossible de constituer un registre fiable sans cartographie préalable. Même pour une TPE avec des traitements simples, un inventaire structuré des données est indispensable et peut se faire en quelques heures.
Faut-il cartographier les données papier ?
Oui. Le RGPD s’applique aux traitements automatisés et aux fichiers manuels structurés (Art. 2(1) RGPD). Les dossiers papier (dossiers salariés, dossiers patients, archives) contiennent des données personnelles soumises aux mêmes obligations de documentation, de sécurité et de limitation de conservation.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial
