Blog

You are currently viewing Sources et points de collecte de données personnelles

Sources et points de collecte de données personnelles

Faites la différence

Quand on parle de cartographier son entreprise pour faire un état des lieux RGPD, c’est-à-dire des traitements de données personnelles effectuées dans l’entreprise, on vous dit souvent de commencer par relever toutes les sources de données personnelles, puis de préciser les points de collecte.

Ce sont deux aspects distincts lors de l’identification des processus de collecte de données, mais la différence peut ne pas être très claire…

👉 Suivez le guide pour tour tout comprendre !

  • Définition des sources de données
  • Définition des points de collecte
  • Cas particulier des sous-traitants
  • Focus sur les débuts d’une TPE
  • La formation

Sources de données

Les sources de données font référence aux différentes origines des données personnelles au sein de votre entreprise.

Il s’agit des endroits où les données sont générées ou recueillies. 

Exemples courants de sources de données

  • Votre site web peut être une source majeure de données personnelles, que ce soit par le biais d’inscriptions, de formulaires de contact, de commentaires, d’achats en ligne, etc.
  • Les interactions directes avec vos clients, qu’il s’agisse de communications par e-mail, de conversations téléphoniques, de chat en ligne, de réseaux sociaux, peuvent également générer des données personnelles.
  • Si vous avez des applications mobiles liées à votre entreprise, celles-ci peuvent collecter des données personnelles lors de leur utilisation par les utilisateurs.
  • Les bases de données internes, telles que les systèmes de gestion de la relation client (CRM) ou les systèmes de gestion des ressources humaines (RH), peuvent contenir des données personnelles collectées dans le cadre de vos activités commerciales ou de votre gestion du personnel.

Conseils pratiques

Pour vous assurer de ne pas oublier de sources potentielles de données personnelles lors de l’identification des processus de collecte de données, voici quelques conseils pratiques :

  1. Prenez le temps d’examiner en détail toutes les activités de votre entreprise, tous les processus impliqués dans la collecte, l’utilisation et le traitement des données. Cela vous aidera à identifier les différentes zones où des données personnelles peuvent être générées ou collectées. Pour cela, n’oubliez pas, si vous avez des collaborateurs, de les impliquer en leur demandant des informations précises sur leur secteur et la manière dont ils fonctionnent, ce qu’ils font…
  2. Passez en revue les politiques et les procédures internes déjà en place dans votre entreprise. Cela peut inclure des documents tels que les politiques de confidentialité, les politiques de traitement des données, les accords de confidentialité, etc. Ces documents peuvent fournir des indications sur les sources de données personnelles utilisées dans le cadre de vos activités.
  3. Analysez toutes les interactions que votre entreprise entretient avec les clients, que ce soit par le biais de votre site web, des réseaux sociaux, des courriels, des appels téléphoniques, des points de vente physiques, etc. Identifiez les moments où des informations personnelles sont collectées et notez ces sources.
  4. Faites le tour des outils, des systèmes et des logiciels que votre entreprise utilise pour gérer les données. Cela peut inclure des outils de gestion de la relation client (CRM), des systèmes de gestion des ressources humaines (RH), des outils d’analyse, des plateformes de commerce électronique, etc. Identifiez les fonctionnalités de collecte de données de ces outils et systèmes.

Points de collecte de données

Les points de collecte de données font référence aux endroits spécifiques où les données personnelles sont effectivement collectées auprès des individus.

Ce sont les points d’interaction où les utilisateurs fournissent délibérément leurs informations personnelles. 

Exemples de points de collecte de données

  • Les formulaires d’inscription, de contact, de demande de devis, de souscription à une newsletter, etc., présents sur votre site web.
  • Si vous avez des espaces d’inscription pour les utilisateurs, tels que des comptes utilisateurs, des forums, des espaces membres, etc., ces zones sont considérées comme des points de collecte de données.
  • Si vous menez des enquêtes en ligne ou demandez aux utilisateurs de remplir des questionnaires, ces interactions constituent également des points de collecte de données.
  • Lorsque vous interagissez directement avec vos clients, que ce soit par téléphone, par e-mail ou en personne, les informations personnelles qu’ils vous fournissent à ce moment-là sont également des points de collecte de données.

Conseils pratiques

Pour vous assurer de n’oublier aucun point de collecte de données personnelles, on reprend ce qui a été fait précédemment pour l’identification des sources, mais cette fois-ci en allant plus en profondeur

  1. Passez en revue tous les processus internes de votre entreprise, des activités de collecte de données aux différentes étapes de traitement. Identifiez les points de collecte potentiels à chaque étape du processus. Cela englobe les formulaires en ligne, les applications mobiles, les formulaires papier, les appels téléphoniques, les interactions en personne, etc.
  2. Analysez attentivement les différentes interactions que vous avez avec les utilisateurs. Cela va des demandes de renseignements, les inscriptions, les abonnements, les achats, les commentaires, aux enquêtes, participations à des concours, etc. Identifiez chaque moment où des données personnelles sont collectées auprès des utilisateurs.
  3. Analysez les bases de données et les systèmes que vous utilisez pour stocker les données des utilisateurs. Identifiez les points d’entrée où les données sont initialement collectées et enregistrées. On revient sur les formulaires de contact, les formulaires d’inscription, les formulaires de commande, etc.
  4. Mettez-vous dans la peau d’un utilisateur et suivez le parcours de collecte de données à travers les différentes plateformes et canaux de communication de votre entreprise.

En résumé

Les sources de données font référence aux différentes origines des données personnelles au sein de votre entreprise, tandis que les points de collecte de données désignent les endroits spécifiques où les utilisateurs fournissent délibérément leurs informations personnelles.

En examinant à la fois les sources et les points de collecte de données, vous obtiendrez une image complète de la manière dont les données personnelles sont recueillies au sein de votre entreprise, ce qui est essentiel pour une cartographie précise dans le cadre de la conformité RGPD.

Cas particulier des sous-traitants

N’oubliez pas que si vous êtes sous-traitant au sens RGPD, c’est-à-dire que vous traitez les données personnelles pour le compte d’un responsable de traitement, vous devez aussi effectuer ce travail pour les données de vos clients que vous traitez. Vous aurez à remplir un registre spécifique, mettre des clauses dans vos contrats, etc.

Voici les points auxquels vous devez prêter attention

  1. Le responsable de traitement peut vous fournir directement des données personnelles qu’il souhaite que vous traitiez pour son compte, comme des informations sur les clients, les employés, les partenaires commerciaux, etc. Ces données peuvent vous être transmises par voie électronique, par courrier postal, par fax ou lors de réunions en personne.
  2. Si vous utilisez des plateformes en ligne, telles que des sites web ou des applications mobiles, vous pouvez collecter des données personnelles à partir de formulaires de contact, de formulaires d’inscription, de formulaires de commande, de chats en direct, de commentaires, etc. Les utilisateurs peuvent vous fournir directement leurs données personnelles lorsqu’ils interagissent avec votre site web ou votre application.
  3. Les courriers électroniques des clients, des partenaires commerciaux ou d’autres parties prenantes de votre client peuvent également être une source de collecte de données personnelles. 
  4. Si vous intégrez vos systèmes avec ceux du responsable de traitement, vous pouvez collecter des données personnelles à partir de ces intégrations. Par exemple, si vous vous connectez à leur système de gestion de la relation client (CRM) ou à leur système de gestion des ressources humaines (RH), vous pouvez récupérer des données personnelles relatives aux clients ou aux employés.
  5. Si vous traitez des appels téléphoniques pour le compte du responsable de traitement, vous pouvez collecter des informations fournies verbalement par les appelants, telles que des coordonnées, des identifiants, des requêtes ou des plaintes.
  6. Même à l’ère du numérique, certains processus peuvent encore impliquer l’utilisation de formulaires papier. Si vous utilisez de tels formulaires, vous pouvez collecter des données personnelles à partir de ceux-ci. Assurez-vous de sécuriser ces formulaires physiquement et de les traiter conformément aux exigences du RGPD une fois qu’ils sont remplis.
  7. Si vous êtes actif sur les réseaux sociaux pour le compte du responsable de traitement, vous pouvez collecter des données personnelles à partir des interactions sur ces plateformes. Par exemple, les commentaires, les messages privés ou les informations de profil…

Il est important de noter que, en tant que sous-traitant, vous devez respecter les instructions du responsable de traitement concernant la collecte, le traitement et la sécurisation des données personnelles.

Assurez-vous de bien comprendre les attentes du responsable de traitement et de mettre en place des mesures appropriées pour protéger les données tout au long du processus de collecte et de traitement.

Focus sur les débuts d’une TPE

Pour une micro ou très petite entreprise qui démarre, avoir cette démarche dès le début est essentiel.

Alors oui, on est déjà submergé, quand on se lance, par le nombre de choses et d’actions auxquelles penser, réaliser, mettre en place…

Mais c’est tellement plus simple de le faire au fur et à mesure, et de ne pas avoir à y revenir dans l’urgence, une fois que son cœur d’activité est en pleine progression ! 

Sans compter que ce n’est pas parce que vous commencez à peine, que vous n’avez pas beaucoup de clients et encore moins de CA que vous êtes exempté de conformité au RGPD !

Des économies de temps et de ressources

En effectuant une cartographie complète des sources de données dès le lancement de votre entreprise, vous économisez du temps et des ressources à long terme. Les efforts pour réaliser la cartographie de son entreprise a posteriori sont beaucoup plus chronophages et compliqués, surtout quand tout a été fait sans structure ni anticipation et que cela part dans tous les sens, que certains logiciels ne sont plus utilisés, mais conservent des données, d’autres se sont rajoutés et font doublons… En l’initiant dès le départ, vous partez sur une base saine qu’il suffira de réévaluer régulièrement pour la mettre à jour.

Un état d’esprit éthique

Vous adoptez dès le départ un état d’esprit d’éthique et de transparence en ayant une approche responsable qui peut avoir des avantages concrets et pragmatiques. 

  1. Faire des choix éclairés. Lorsque vous envisagez d’intégrer de nouveaux outils, posez-vous les bonnes questions : comment les données personnelles seront-elles traitées et stockées ? Quelles sont les mesures de sécurité mises en place ? L’outil respecte-t-il les principes de protection des données du RGPD ? En prenant ces précautions, vous évitez de choisir des solutions qui pourraient compromettre la confidentialité des données de vos utilisateurs, et/ou qui entraîneraient des démarches et précautions supplémentaires plus tard, voire que vous seriez obligé de changer par la suite… 
  2. Économiser. Adoptez tout de suite une approche de minimisation des données. Évitez de collecter des données excessives ou inutiles qui pourraient représenter des risques inutiles pour la vie privée des utilisateurs. Si vous êtes dans cette démarche dès le début, vous économisez en temps, capacité de stockage et d’archivages… C’est la version zen de l’organisation de votre entreprise !
  3. Rentabiliser : ce recensement de toutes vos sources et points de collectes vous permettra d’établir plus facilement vos politiques de confidentialité et d’utilisation des données et de mettre en place les consentements éclairés et les droits des personnes.
  4. Sécuriser. Mettez en place les mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, les pertes ou les fuites. Cela implique qu’il est indispensable, dès à présent, de réfléchir à la création et la gestion des mots de passe, à l’utilisation de pare-feu, à la séparation perso/pro de son agenda et son répertoire, mais aussi, et ça semble si bête qu’on l’oublie, à l’accès sécurisé du bureau ou de l’armoire où sont stockés vos dossiers, à prévoir le stockage des archives qu’elles soient numériques ou papiers… Ce n’est pas quand vous serez en plein essor que vous pouvez prendre le risque de tout perdre par la faute d’un hacker (eh oui, ils s’intéressent de plus en plus aux petits, souvent moins protégés), ou d’un incendie, inondation et autres catastrophes naturelles ou informatiques…

Mais ce n’est pas tout !

Nous avons recensé 5 bonnes raisons de se mettre en conformité et qui prennent encore plus de valeur au lancement d’une activité pour gagner en productivité et efficacité…

Aller plus loin

Besoin d’être guidé pas à pas dans votre démarche de conformité ?

Découvrez nos solutions : nos formations se déclinent en présentielcoaching et e-learning.