Questionnaire cartographie
Identification
Nom, prénom et fonction *
Application
Nom de l'application *
Par "Nom de l'application" est entendu le nom de l'outil qui met en oeuvre le traitement (Nom du logiciel, "formulaire papier", "liste", etc)
Direction/Service en charge du traitement *
Quelles sont les finalités de l’application (et les sous-finalités) ? *
Autrement dit, quel est l'objectif poursuivi par ce traitement de données ? Exemples: "Mise en place d'un réseau de vidéo surveillance", "Gestion du vivier de candidats", "organisation du diner des anciens combattants", etc
Données personnelles
Quelles sont les données traitées au sein de l’application ? *
Collecte de données ayant un caractère sensible ? *
Fonctionnement
Possibilité d’extraction des données à partir de l’application ? *
Existence de zones de commentaires libres dans l’application ? *
Un champ de texte libre où les utilisateurs peuvent laisser un commentaire. Zone à risque, les utilisateurs étant susceptibles d'y mentionner des données personnelles.
Exemple: Un livre d'or, un espace commentaire/notation sur le site
Origine des données et méthode de recueil des données (formulaire papier, online,…) *
Quelles sont les catégories de personnes concernées ? *
Quels types de personnes sont susceptibles de voir leurs données traitées ? Des citoyens, du public, des agents, des élus, des mineurs,etc
Destinataires des données ? *
Quels sont les personnes (renseigner la fonction, pas le nom) ou services qui vont effectuer ce traitement ?
Recours à des prestataires/sous-traitants ? *
Interconnexions et circulation des informations, lien entre les applications ? *
Durée de conservation des données ? *
Chaque responsable de traitement doit déterminer en amont le temps de conservation des durées de conservation des données, ou à défaut, les critéres permettant de déterminer cette durée. (Exemple: durant toute la durée de la carrière d'un agent + 5 ans)
Cette durée peut être déterminée par la loi (Exemple: Facture = 10 ans)
Lieu de conservation ? (Cloud, serveur, armoire, coffre fort, disque dur, etc) *
Mesures mises en oeuvre pour assurer la sécurité et la confidentialité des données *
Flux transfrontières de données ? *
Est ce qu'un service ou un prestataire situé hors de l'Union Européenne va être amené à traiter ces données ?
Modalités d’information des personnes concernées *
Chaque traitement de données personnelles doit être justifié, et une information claire et précise des modalités doit être apportée à la personne qui va confier ces données au moment de la collecte.
Existence et effectivité des droits des personnes concernées *
Les personnes concernées par le traitement doivent avoir la possibilité d'user des droits qui leur sont offerts par le RGPD ( Droit de suppression, de rectification, à la portabilité, etc)
Service ou personne en charge de la gestion des droits des personnes *
Fondement légal du traitement *
Afin d'être légal, le traitement doit reposer sur un de ces "motifs" du traitement