Template DPIA client — Natalia Analyse
Modèle d'Analyse d'Impact (DPIA / AIPD) pré-rempli à transmettre à votre DPO. Déclenché au-delà d'environ 5000 lignes téléphoniques (seuil CNIL surveillance systématique du travail).
1. Description du traitement
Nature du traitement : collecte, stockage et analyse des métadonnées d'appels téléphoniques (CDR) générées par les PBX Alcatel OXE / OXO de l'organisation.
Périmètre : [à compléter : nombre de lignes téléphoniques, périmètre géographique, départements concernés]
Catégories de données : numéros de téléphone (internes et externes), date et heure des appels, durées, sens (in/out), redirections, identifiants de trunks.
Catégories de personnes concernées : salariés du Responsable, tiers appelants et appelés.
Durée de conservation : [à compléter : typiquement 12 mois pour les CDR bruts, 36 mois pour les KPIs agrégés. Max recommandé : 5 ans (profil Natalia Large).]
Destinataires : service RH (agrégats anonymisés), opérations IT (CDR bruts pour troubleshooting), direction (KPIs).
Sous-traitants : mode déconnecté strict : aucun. Mode connecté : Natalia SAS + Gemini (Google Ireland eu-west). Support 72h : Natalia SAS ponctuel pendant l'intervention.
2. Nécessité & proportionnalité
Base légale (art.6) : [le plus fréquent : intérêt légitime (art.6-1-f) pour les opérations IT et le capacity planning. Pour les usages RH, consulter les représentants du personnel et documenter la proportionnalité.]
Finalités : [détailler chaque finalité. Éviter d'agréger des finalités hétérogènes sous une même base.]
Minimisation des données : les numéros de téléphone sont pseudonymisés par tenant dans le Logiciel, seules les métadonnées nécessaires sont collectées, aucun audio brut n'est traité.
Limitation de la conservation : [documenter la durée de conservation pour chaque catégorie de données et la procédure de suppression à l'issue de la période.]
3. Risques pour les personnes concernées
| Risque | Vraisemblance | Gravité | Notes |
|---|---|---|---|
| Ré-identification des salariés par leurs patterns d'appels | Moyenne | Élevée | Les CDR restent identifiables même avec pseudonymisation des numéros externes. |
| Surveillance RH inappropriée | Moyenne | Élevée | Les KPIs agrégés peuvent être détournés pour évaluer la performance individuelle. |
| Violation de données (attaque externe) | Faible | Élevée | Appliance on-prem derrière le firewall client, surface d'attaque réduite. |
| Abus interne (admin) | Moyenne | Moyenne | Atténué par le journal d'audit immuable + séparation rôle auditor. |
| Fuite via sous-sous-traitant LLM (mode connecté) | Faible | Élevée | Atténué par rétention contractuelle 0 jour + interdiction d'entraînement sur prompts. |
4. Mesures de mitigation
- Pseudonymisation des numéros côté tenant, sel par tenant.
- Contrôle d'accès par rôle (4 rôles : viewer, admin, auditor, integrator). Rôle auditor intouchable par admin.
- Journal d'audit immuable avec hash chain (tamper-evident).
- Appliance on-prem, pas de contrôle à distance par Natalia en mode déconnecté strict.
- Information documentée des salariés (art.13 RGPD) avant l'activation du traitement, consultation des représentants du personnel le cas échéant.
- Séparation stricte entre finalités opérations IT et finalités analytics RH (rôles séparés, dashboards séparés, rétentions séparées).
- Revue périodique de la DPIA (recommandée tous les 12 mois ou après tout changement majeur de périmètre).
Validation
DPO : [nom, date, signature]
Responsable sécurité IT : [nom, date, signature]
Directeur RH (le cas échéant) : [nom, date, signature]
Date prochaine revue : [date]