Tout savoir sur le registre de traitements RGPD

Le RGPD est une nouvelle réglementation européenne qui a été mise en vigueur le 25 mai 2018. C’est une loi relative à la protection des données à caractère personnel. Cela dit, elle a dû énormément modifier les mesures prises par les entreprises en matière de traitement de données personnelles. Ce nouveau règlement met en évidence de multiples applications auxquelles toutes les entreprises concernées doivent se soumettre. Parmi elles figure la tenue d’un registre RGPD. Un registre qui concerne à la fois les responsables des traitements ainsi que les sous-traitants.

 

A quoi sert un registre de traitements des données ?

Le registre de traitement des données est un document qui a pour objectif de recenser et d’analyser l’ensemble des données personnelles exploitées par un organisme. Il doit refléter la réalité des traitements effectués et doit permettre d’identifier d’une manière précise :

  • Les parties prenantes qui interviennent dans les traitements de données : représentant, sous-traitants, co-responsables, etc.
  • Les différentes catégories de données traitées.
  • Vous en faites quoi avec les données collectées, qui peut y accéder et à qui sont-elles communiquées.
  • Combien de temps devez-vous conserver ces données.
  • Comment ces données sont-elles sécurisées

La tenue du registre de traitements ne se limite pas au fait qu’il s’agit d’une obligation prévue par l’article 30 du RGPD. En plus de cela, il constitue également un outil de pilotage, mais également de preuve de conformité au RGPD.

 

Qui est concerné par la tenue d’un registre RGPD ?

Tous les organismes qui traitent des données à caractère personnel, qu’ils soient publics ou privés et quelle que soit leur taille, sont tous concernés par l’obligation de tenir un logiciel de registre RGPD. Ainsi, la CNIL préconise la tenue de deux registres. Le premier est destiné aux traitements des données personnelles dont l’organisme lui-même est responsable. Le deuxième est tenu pour les traitements effectués en tant que sous-traitants comme les prestataires de services informatiques, les agences de communication, etc.

Le registre du responsable de traitement

Le registre du responsable du traitement doit contenir toutes les opérations de traitement appliquées aux données à caractère personnel qui ne sont effectuées que par l’organisme concerné. Normalement, un registre devrait être établi pour chaque activité. Celui-ci doit inclure le nom et les coordonnées de l’entreprise concernée. Si une entreprise n’a pas été établie dans l’UE, le registre doit également inclure le nom et les coordonnées de son représentant. L’identité du délégué à la protection des données doit également figurer dans ce registre.

De plus, pour chaque activité de traitement, le registre doit inclure au moins les éléments suivants :

  • Dans ce cas, le nom et les coordonnées du responsable conjoint du traitement utilisé
  • Le but de la collecte des données
  • Quelles sont les catégories de personnes concernées (clients, clients potentiels, employés, etc.)
  • Liste des différentes catégories de données personnelles : identité, données bancaires, données de localisation, coordonnées, situation familiale ou financière, etc.
  • Les catégories de destinataires de données personnelles qui ont été ou seront communiquées, y compris les sous-traitants avec qui vous travaillez
  • Le transfert de toutes les données personnelles vers un autre pays ou une organisation internationale. Dans certains cas particuliers, vous devez également enregistrer les garanties fournies pour ces transferts.
  • Le délai prévu pour l’effacement de chaque catégorie de données personnelles : le temps de conservation ou les conditions de détermination des données personnelles.

Le registre du sous-traitant

Le registre de traitement du sous-traitant doit contenir tous les types d’activités de traitement de données effectuées pour le compte du client. Pour chaque type d’activité réalisée pour le client, elle doit contenir au moins les éléments suivants :

  • Le nom et les coordonnées de chaque client et du responsable du traitement pour lesquels vous devez traiter les données
  • Le nom et les coordonnées de tous les sous-traitants que vous utilisez
  • Différents types de traitements de données effectués pour le compte de vos clients
  • Transfert de données personnelles vers un autre pays ou une organisation internationale
  • Si possible, une description générale (technique et organisationnelle) des mesures de sécurité prises pour protéger les données.

Attachment

Logiciel registre RGPD