DASTRA
Français
Français
  • Introduction à Dastra
  • 🇪🇺Rappels utiles
    • Introduction au RGPD
    • Notions clefs du RGPD
      • Donnée personnelle
      • Registre des traitements
      • Analyse d'impact
      • Durées de conservation
      • Droits des personnes
      • Confidentialité dès la conception et par défaut
      • Mesures de sécurité
      • Violations de données
    • Gestion des risques
      • Définition des risques
      • Evaluation d'un risque
      • Risques sous-traitants
  • 👨‍💻Bien commencer
    • Mise en place
      • Les notions importantes
      • Créer et paramétrer un espace de travail
      • Créer et paramétrer les unités organisationnelles
      • Désigner un DPO
      • Ajouter une autorité chef de file
      • Inviter des utilisateurs
      • Gérer les rôles et permissions
      • Créer puis affecter des équipes
      • Questions fréquentes
    • Tutoriel
      • Etape 1 : La mise en place
      • Etape 2 : Cartographier vos traitements de données à caractère personnel et établir le registre
      • Etape 3 : Gérer les risques
      • Etape 4 : Prioriser les actions à mener
      • Etape 5 : Implémenter les processus internes
      • Etape 6 : Documenter la conformité
    • Support
      • L'assistant dastronaute
      • L'aide en ligne
      • Demande de support
      • Le processus de support client
  • ⚙️Les fonctionnalités
    • Tableau de bord
    • Généralités
      • Filtres avancés
      • Importer vos données (Excel, Csv)
      • Gestion des tags
      • Champs personnalisés
      • Assistant IA
      • Modèles email
      • 😇Foire aux questions
      • Discussions internes
    • Cartographie des données
      • Référentiels
    • Registre des traitements
      • Registre "Responsable de traitement"
      • Registre "Sous-traitant"
      • Etablissez votre registre
      • Exporter / importer le registre
      • Utiliser un modèle de traitement
      • Déclarer un traitement
      • Compléter un traitement
        • Général
        • Parties prenantes
        • Finalités
        • Actifs
        • Données et conservation
        • Personnes concernées
        • Droits des personnes
        • Destinataires
          • Transferts de données hors UE
        • Mesures de sécurité
        • Analyse d'impact
        • Documents
        • Récapitulatif
      • Créer des relations entre les traitements
      • Fraicheur des traitements
      • Partager le registre
      • Visualisation des données
        • Visualiser l'arborescence des traitements
        • Visualiser la cartographie des données du registre
        • Visualiser la carte des transferts
      • Questions fréquentes
    • Gestion de documents (GED)
      • Modèles de documents
    • Questionnaires et PIA
      • Créer ou modifier un modèle de questionnaire ou un PIA
        • Créer ou modifier un modèle de PIA
      • Planifier un questionnaire ou un PIA
      • Partager un rapport d'audit ou PIA
      • Supprimer un audit ou un modèle d'audit
      • Questions fréquentes
    • Privacy hubs
      • Créer un Privacy hub
      • Paramétrer votre Privacy hub
        • Page d'accueil et configuration générale
        • Questionnaires
        • Exercice des droits
        • Registre des traitements
        • Documents
        • Organigramme
        • Contacts
        • Sécurité
        • Apparence et design
      • Prévisualiser et partager votre Privacy hub
      • Collecter des projets de traitements, d'incidents, d'actifs ou de contrats
    • Contrats
      • Déclarer un contrat
      • Structure d'un contrat
      • Les documents
      • Les actifs
      • Les signataires
      • Utilisateurs associés
      • Signer le contrat
      • Intégration avec Docusign
      • Versionner le contrat
      • Revue régulière du contrat
      • Modèles de contrats dynamiques
    • Gestion des risques
      • Glossaire
      • Le processus de gestion des risques
        • 1. Identifier
        • 2. Evaluer
        • 3. Maîtriser
        • 4. Contrôler
        • Récapitulons
      • Comparaison Dastra / eBios RM
      • Associer un risque à un traitement
      • Questions fréquentes
    • Planification
      • Créez ou modifier une tâche
      • Créer ou modifier un projet ou une itération
      • Suivre, filtrer ou exporter les tâches
      • Personnaliser le workflow des tâches
      • Synchroniser avec d'autres calendriers
      • Questions fréquentes
    • Exercices des droits
      • Gestion des demandes d'exercices de droits
      • Formulaire de collecte de demandes
      • Intégration technique
      • Intégration de l'API
    • Violations de données
      • Documenter une nouvelle violation de données
      • Exportez vos violations de données
    • Cookies
      • Mise en place de la bannière
        • Etude préliminaire
        • Scannez les cookies déposés sur votre site Web
        • Classifiez les cookies par catégories de consentement
        • Les finalités des cookies
        • Configurez un widget de consentement aux cookies
        • Collectez les preuves de consentement cookies
        • Allez plus loin sur le consentement des cookies
        • En cas d'indisponibilité
      • Intégration technique
        • Fonctionnement de la bannière
        • Démarrage rapide
          • Wordpress
        • Gestion de la langue
        • Tester l'intégration d'un widget
        • Blocage des cookies
          • Blocage des iframes (twitter/youtube...)
          • Google Tag Manager
        • Design avancé
        • Gérer le consentement programmatiquement
        • Identification des utilisateurs
        • Applications mobiles
          • Applications hybrides
          • Applications natives
        • TCF 1.1/2.0
      • Conformité RGAA
      • Dépannage
    • Revue régulière (fraicheur)
    • Rapports personnalisés
      • Intégration dans les outils d'analyse de données (BI)
    • Systèmes d'IA
      • Etablir un registre des Systèmes d'IA
      • Analyse de risque et valeur ajoutée
      • Notice de transparence
      • Le référentiel des modèles d'IA
    • Configuration avancée
      • Rôles et permissions
      • Single Sign On (SSO)
        • SAML 2
        • OpenId
        • ADFS
        • Active Directory (MS Entra)
        • Okta
        • Problèmes connus
      • SCIM
      • Gestion des clés d'API
      • Notifications
      • Adresses emails de collecte
      • Intégrations OneDrive/Google Drive
      • Etapes de processus
      • Webhooks
      • Configuration du SMTP
      • Règles de workflows
      • Modèles de messages
      • Domaines emails
  • PARTENAIRES
    • Portail partenaire
  • 📄La documentation API
    • Liste des endpoints d'API
    • Cas d'usage de l'API
    • Configuration API
    • Authentification
    • API References
    • Intégrations via Zapier
      • Questions fréquentes
  • 🛡️La sécurité
    • Sécurité chez Dastra
    • Authentification forte
    • Qualité de nos services
  • Certifications
  • 🤖DIVERS
    • Foire aux questions
    • Problèmes connus
    • Notes de version
    • Webinaires
Propulsé par GitBook
Sur cette page
  • Jeux de données
  • Plusieurs cas d'usage des jeux de données
  • Associer la source des données dans le jeu de données
  • Associer un actif au jeu de données
  • Associer une catégorie de personnes concernées
  • Associer des champs de données
  • Associer une règle de conservation des données
  • Conservation des données

Cet article vous a-t-il été utile ?

  1. Les fonctionnalités
  2. Registre des traitements
  3. Compléter un traitement

Données et conservation

Apprenez à renseigner les catégories de données ainsi que les règles de conservation associées spécifiques à un traitement.

Dernière mise à jour il y a 4 mois

Cet article vous a-t-il été utile ?

exige également l’inscription des catégories de données traitées.

Il s’agit ici de définir les catégories de données traitées. Celles-ci peuvent être dites courantes ou sensibles. On distingue en effet les données qui présentent un risque plus important sur les personnes physiques tel que les données relatives à la santé des personnes, les données relatives aux opinions politiques ou à l’activité syndicale. Les données relatives à des infractions ou autres mesures d’exécution de peines constituent également des données particulièrement protégées.

De même, le numéro d’inscription au répertoire (NIR) ou numéro de sécurité sociale peut être assimilé à une donnée sensible.

Jeux de données

Le jeu de données regroupe les données d'un élément précis, par exemple, une table dans une base de données ou un formulaire de collecte papier.

Plusieurs cas d'usage des jeux de données

Les jeux de données peuvent être utilisés selon plusieurs manières :

  • Cas n°1 : en associant un jeu de données à un actif unique. Dans ce cas, le jeu de données correspond aux données de l'actif et n'est pas générique

  • Cas n°2 : en associant un jeu de données au traitement de données. Ce jeu de données peut être spécifique au traitement de données et n'est pas réutilisé dans un autre traitement de données

  • Cas n°3 : en associant des jeux de données génériques au traitement de données. Dans ce cas, le jeu de données peut être réutilisé dans plusieurs traitements de données.

Pour utiliser les jeux de données génériques, nous recommandons la procédure suivante :

  • Ouvrir la page du traitement concernant les jeux de données

  • Ouvrir un nouvel onglet sur la page des jeux de données dans la cartographie

  • Sélectionner le jeu de données dans le traitement de données

  • Si le jeu de données doit être modifié, il faut en créer un autre : se rendre sur l'autre onglet et dupliquer le jeu de données générique en enlevant ou en ajoutant les champs souhaités

  • Pour plus de clarté, il est recommandé d'utiliser un tag pour ces jeux de données (cela vous permettra de les distinguer facilement dans le sélecteur de jeux de données). Par exemple : un tag "générique" et un tag concernant la donnée ajoutée ou enlevée

Utiliser des jeux de données sans champs

Par ailleurs, il est possible de rester encore plus générique en ne précisant pas les données associées au jeu de données mais en nommant le jeu de données en tant que catégorie de données (ce qui est également valable au sens du RGPD par exemple).

Selon les traitements, vous pouvez avoir des approches différentes, en fonction de la sensibilité qu'ils présentent au regard des droits et libertés des personnes concernées.

Associer la source des données dans le jeu de données

Dans chaque jeu de données, vous pouvez inscrire l'origine des données. Celle est soit directe, soit indirecte, soit les deux.

Un champ vous permettant de décrire l'origine de la collecte permet d'apporter la précision nécessaire.

Associer un actif au jeu de données

Vous pouvez associer un actif à votre jeu de données lors de sa création.

Un jeu de données ne peut être associé qu'à un seul actif. En effet, en définissant les jeux de données d'un actif, ceux-ci sont uniques.

Par exemple, en considérant un logiciel de comptabilité comme un actif, plusieurs jeux de données pourraient être associés à cet actif, tels que "données de facturation" comprenant les données relatives au module suivi des factures ou encore "données des clients" comprenant les données relatives aux comptes clients.

Associer une catégorie de personnes concernées

Pour chaque jeu de données, vous pouvez associer une ou plusieurs catégories de personnes concernées.

Cela vous permet de mieux comprendre quelles sont les données associées aux personnes concernées. De plus, cela simplifie le travail de cartographie.

Associer des champs de données

Chaque jeu de données a vocation à être complété par des champs de données. Ces champs sont les données en tant que tel.

Les champs qui s'affichent dans le sélecteur sont les champs disponibles dans le glossaire de données.

Si une donnée n'est pas présente, vous pouvez la créer directement depuis ce sélecteur pour l'ajouter au jeu de données.

Les champs peuvent être catégorisés selon des catégories prédéterminées. Il s'agit notamment des catégories préconisées par la CNIL.

C'est également au niveau du champ que vous pouvez indiquer la présence d'une donnée sensible. Par exemple, une donnée de santé ou un autre type de donnée sensible.

Dans ce cas, vous êtes invité à justifier de la collecte de cette donnée et en particulier du fondement juridique la permettant.

Associer une règle de conservation des données

Dans chaque jeu de données, vous pouvez associer une règle de conservation des données.

Les durées de conservation sont considérées par défaut car elles peuvent être personnalisées au niveau du traitement (voir infra).

Vous pouvez ajouter une durée en base active, en archive intermédiaire ou une règle de purge.

La base active est la base courante du traitement. L'archivage intermédiaire est une forme de conservation plus restreinte. Le champ « purge » vous permet de décrire les conditions de suppression des données ou leur transmission pour archivage définitif.

Conservation des données

Concrètement, cela signifie que lors de la mise en œuvre d’un traitement de données, il faut penser à son devenir lorsque la finalité aura été accomplie. La donnée devra être soit détruite de manière définitive, soit anonymisée, soit traitée pour une nouvelle finalité compatible.

La durée de conservation dépend de la finalité du traitement et de la nature des données. Les durées de conservation peuvent être définies en fonction des types de données. Par exemple, pour la gestion de la paie, les données relatives au bulletin de salaire sont conservées 1 mois en base active et 5 ans en archivage intermédiaire tandis que les données relatives à l’ordre de virement pour paiement sont conservées le temps nécessaire à l’émission du bulletin de paie en base active et 10 ans à compter de la clôture en archive intermédiaire.

Personnaliser les règles de conservation d'un jeu de données

Les champs de données d'un jeu de données générique ne peuvent pas varier d'un traitement à l'autre. Cependant, la durée de conservation peut être différente. En effet, il est possible de personnaliser la durée de conservation d'un jeu de données en fonction du traitement. Ainsi, la durée de conservation du jeu de données ne sera plus prise en compte.

Pour cela, il est nécessaire d'ajouter le jeu de données au traitement. Sur la liste des jeux de données, il faut cliquer sur les boutons "base active/...".

Vous pourrez voir apparaitre la fenêtre de personnalisation.

Lorsque la durée de conservation est personnalisée au niveau du traitement, un petit logo de stylo apparait sur le bouton concerné :

L'objectif à terme peut être de limiter l'utilisation de jeux de données génériques et de s'orienter vers une cartographie plus précise soit via les traitements de données (cas n°2) soit via les actifs (cas n°1).

La collecte de données sensibles est par principe interdite. Seules les exceptions prévues à l’ permettent de les collecter.

Les jeux de données ont une vocation naturelle à être ajoutés à des .

Indiquer les personnes concernées est utile dans la gestion des . En effet, vous pourrez retrouver facilement les données qui l'objet de la demande en identifiant rapidement les jeux de données concernés.

Cette information sera analysée par l'application pour déclencher un critère intelligent .

La conservation limitée des données fait partie des principes généraux du droit des données à caractère personnel et est rappelée à l’. Celui-ci prévoit en effet que « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

La durée peut être exprimée en valeur ou, si ce n’est pas possible, les critères utilisés pour définir la période de conservation (jusqu’à la désinscription par exemple). Il est recommandé, en particulier par la CNIL dans sa , de mettre en place des procédures permettant de gérer les durées de conservation au niveau de la catégorie de données et en particulier, de gérer les purges ou destructions de données.

⚙️
article 9 du RGPD
actifs
demandes d'exercice des droits
d'AIPD
article 5 1. e) du RGPD
recommandation du 11 octobre 2005 sur l’archivage électronique dans le secteur privé
L’article 30 du RGPD
Source des données
Sélecteur d'actif
Sélecteur de catégories de personnes concernées
Sélecteur de champs de données
Sélecteur de catégorie de données personnelles
Donnée sensible
Durées de conservation
Bouton "base active"
Fenêtre de personnalisation des durées de conservation
Durée personnalisée au niveau du traitement