L’article 30 du Règlement général sur la protection des données (RGPD) rend obligatoire l’utilisation d’un registre des activités de traitement permettant aux entreprises de recenser les actions qu’ils appliquent à leurs données informatiques. Ainsi, chaque organisme ou entreprise dispose d’une vue globale de l’utilisation des données personnelles qu’il collecte.
Outil de pilotage primordial
Le registre de traitement des données est un document qui recense et analyse toutes les données personnelles gérées par une entreprise. Il identifie précisément :
- les acteurs qui interviennent dans ce traitement de données : sous-traitants, représentants, coresponsables, etc.
- les catégories des données traitées ;
- l’utilité des données récoltées, les personnes qui y ont accès et celles à qui elles sont communiquées ;
- le temps de conservation des données ;
- la manière dont elles sont sécurisées.
Le registre des données constitue un outil de pilotage en plus de son rôle de mise en conformité à la RGPD.
Mis à jour régulièrement, il permet aux organismes concernés d’identifier et de hiérarchiser les risques inhérents à cette législation. Il met en conformité les traitements de données d’une entreprise ou d’un organisme.
La tenue d’un registre de traitement des données est une obligation pour tous les organismes qui traitent des données personnelles de ressortissants Européens, qu’ils soient publics, privés, de taille importante ou modeste.
Les organismes qui traitent des données personnelles pour autrui (prestataires de services, sous-traitants, agences marketing ou de communication…) sont également soumis à cette obligation.
Deux registres différents
La CNIL (Commission nationale de l’informatique et des libertés) préconise la tenue de deux registres.
Registre du responsable
Ce registre contient tous les traitements qui s’appliquent aux données personnelles instaurés par l’organisme en question. Il répertorie le nom et les coordonnées de l’entreprise, le nom de son représentant et celui du délégué à la protection des données.
Pour chacune des activités de traitement, la fiche du registre doit renseigner :
- le nom et les coordonnées du responsable du traitement ;
- l’objectif de cette collecte de données ;
- la catégorie des personnes concernées (employés, clients, prospect, etc.) ;
- le listing des catégories des données (situation familiale, identité, données bancaires, etc.) ;
- les catégories des destinataires concernés ;
- les transferts de données vers un autre état ou une organisation internationale ;
- les délais prévus relatifs à l’effacement de ces données et leur durée de conservation.
Registre du sous-traitant
Ce cahier doit lister les catégories de traitement de données réalisé pour des clients.
Il contient, au minium, ces éléments :
- nom et coordonnées des clients et des responsables de traitement,
- nom et coordonnées des sous-traitants éventuels,
catégories de traitement des données réalisées pour le compte de clients, - transferts de ces données vers un autre Etat ou une organisation internationale,
- description des mesures prises pour la sécurisation de ces données.
Création de votre registre RGPD
La création du registre RGD est chronophage, heureusement, des outils pratiques existent pour le créer facilement en quelques minutes seulement. La principale difficulté rencontrée lors de la constitution de ce registre réside dans le fait de lister correctement l’ensemble des traitements de données personnelles et d’écrire ensuite la documentation ayant trait à chacun de ces traitements.
Ce registre peut être rédigé à la main : il faudra compter un à deux jours. Sinon, vous avez la possibilité de recourir à un « logiciel de gestion du registre RGPD » qui vous permettra d’importer la plupart des traitements usuels utilisés par les diverses organisations. Ils sont pré documentés.
Cette deuxième solution vous fera économiser plusieurs journées de travail et vous évitera la création d’une documentation qui, en pratique, n’est pas tellement utile. En effet, il existe une multitude d’actions de conformité RGPD utiles et qui génèrent une valeur pour une entreprise. Le travail de documentation représente la fraction la plus contraignante et la moins porteuse de valeur ajoutée.
Petit exemple pour illustrer ces propos. Prenons le cas d’une entreprise qui a une vingtaine de salariés. Voici ses traitements de données personnelles :
- section RH : recrutement, base CV, paie, gestion de la formation du personnel en interne, téléphonie ;
- secteur commercial : prospection, vente de biens et services, gestion comptable, facturation ;
- secteur marketing : enquêtes marketing, blog, organisations de goûters pour présenter ses produits ;
- secteur juridique : gestion de contentieux.
Importer ces différents traitements dans le registre se réalise en quelques clics seulement, concrètement moins d’une minute. Ceux-ci sont ensuite adjoints immédiatement à la liste des traitements mis en place par l’organisation.
Le logiciel propose aussi la base légale, la liste de tous les destinataires, les catégories de personnes qui sont concernées ainsi que les autres mentions demandées par l’article 30.
Si vous avez pris le temps d’écrire la documentation relative à un traitement, vous savez combien elle est laborieuse, aussi, vous apprécierez vivement de disposer d’une base pré construite. Il ne vous restera plus qu’à l’adapter à vos besoins particuliers, tâche gratifiante et intéressante.
La solution RGPD Express vous accompagne pour votre mise en conformité. Cet outil complet vous propose :
- un accès aux 7 étapes automatisées,
- des notifications régulières pur vous indiquer les actions à réaliser,
- une traçabilité des actions instaurées,
- un suivi,
- une maintenance technique et un SAV.
