Inventaire des données personnelles PME: la base pour la Loi 25
Comment faire un inventaire simple des données personnelles dans une PME: formulaires, outils, accès, conservation et priorités Loi 25.
L'inventaire des données est le point de départ le plus concret. Il permet de savoir quelles informations personnelles entrent dans l'entreprise, où elles sont conservées et qui peut les consulter.
Lister les points d'entrée
Commencez par les endroits où une personne vous transmet de l'information: formulaire de contact, inscription, paiement, candidature, courriel, téléphone ou document partagé.
Chaque point d'entrée doit répondre à trois questions: quelles données sont demandées, pourquoi elles sont demandées et dans quel outil elles se retrouvent ensuite.
Relier données et accès
Un inventaire utile ne s'arrête pas au nom de l'outil. Il indique aussi les personnes qui peuvent voir, exporter ou modifier les données.
Cette étape est positive pour l'équipe: elle clarifie les responsabilités et réduit les accès trop larges.
- Identifier les comptes administrateurs.
- Repérer les accès partagés.
- Fermer les accès qui ne sont plus nécessaires.
Transformer l'inventaire en actions
Une fois l'inventaire fait, choisissez les corrections à plus fort impact: retirer un champ inutile, ajuster une mention de formulaire, revoir la conservation ou sécuriser un outil qui contient beaucoup de données.