La nécessité de tenir un registre rgpd
MT : Modèle registre rgpd : Recenser les activités de l’entreprise
MD : Modèle registre rgpd : Dans les entreprises, tout responsable du traitement doit tenir un registre des activités de traitement des données.
L’obligation du règlement européen de tenir un registre de traitement des données personnelles, vient remplacer l’obligation de notification préalable de la commission nationale informatique et libertés. C’est une des obligations légales du règlement général qui va responsabiliser les entreprises. La tenue d’un registre des traitements servira à mettre en conformité une société par rapport aux principes RGPD.
Le registre de traitement des données : un outil indispensable pour gérer les données traitées
Le registre de traitement permet de recenser et d’analyser toutes les données personnelles traitées par une entreprise. Il doit permettre d’identifier les acteurs intervenants dans le traitement des données, les diverses catégories de données traitées, les finalités des données collectées ou encore les mesures mises en place pour protéger le droit des personnes.
Qui est concerné par la tenue d’un registre de traitements de données personnelles ?
L’obligation de miser sur un modèle de registre de traitement de données à caractère personnel s’adresse au responsable du traitement et à ses sous-traitants. Les entreprises avec moins de 250 collaborateurs ne sont pas obligées de tenir un registre, sauf si :
- Les traitements de données sont récurrents ;
- Le traitement des données collectées comporte des risques pour les droits et libertés des personnes concernées ;
- Le traitement des données à caractère personnel est classé « données sensibles » ;
Dans tous les cas, même si vous n’êtes obligés de tenir un registre de données, il vous sera utile pour la mise en conformité RGPD et pour prouver que vous adoptez toutes les mesures techniques pour vous conformer aux obligations de l’autorité de contrôle.
Les éléments que contiendra le registre de traitement des données
Pour assurer la protection des données personnelles d’une personne physique, la CNIL recommande de tenir deux registres de traitement : le premier, pour les données à caractère personnel dont l’entreprise est responsable ; et la seconde pour consigner les traitements opérés comme sous-traitant. Se renseigner ici pour plus d’informations sur le registre rgpd.
La tenue d’un registre pour les responsables de traitement
Le registre de traitement doit détenir l’ensemble des traitées pour chaque activité. Il doit indiquer le nom et les coordonnées de l’organisme ainsi que ceux du représentant. L’identité du DPO ou du délégué à la protection des données doit aussi être signalée.
Il est même indispensable qu’il y ait les objectifs desquels les données sont collectées, la durée de conservation des données des personnes physiques, les différentes catégories de données, les transferts vers un autre pays ou encore les délais prévus pour l’effacement de chaque catégorie de données.
La tenue d’un registre pour les sous-traitants
Afin de garantir la sécurité des données, ce registre devra mentionner toutes les catégories de traitements de données effectués pour le compte de clients. Pour chaque catégorie, il doit donc mentionner les points suivants :
- Le nom et les coordonnées des clients et du responsable de traitement ;
- Le nom et les coordonnées des sous-traitants ;
- Les diverses catégories de traitements de données ;
- Le transfert des données à caractère personnel vers un autre pays ;
- Une description de toutes les mesures de sécurité afin de garantir la protection de la vie privée d’une personne.
Comment tenir un registre de traitement des données personnelles ?
Toute entreprise est libre de choisir la mise en forme de son registre de traitement de données collectées. Il n’y a pas de modèles de registre définit à l’avance, à condition qu’il soit bien compréhensible. Mais pour vous simplifier la tâche, vous pouvez toujours vous inspirer du modèle mis à disposition par la CNIL. Vous pouvez aussi choisir un outil de gouvernance du RGPD. Votre registre pourra être considéré comme une preuve juridique de l’existence de vos traitements et garantira une meilleure traçabilité de vos actions et de leurs finalités.