RGPD : avez-vous créé un registre de vos traitements de données ?

 

Le Règlement Général sur la Protection des Données (RGPD), en application depuis le 25 mai 2018, a pour principaux objectifs de renforcer le droit des personnes et de responsabiliser les acteurs traitant des données personnelles sur le territoire de l’Union européenne.

Afin de se mettre en conformité avec cette loi, quatre actions majeures sont à mener. Il convient de :
>  Constituer un registre des traitements des données : étape n° 1, lire ci-dessous
>  Nettoyer les bases de données : lire l’article ICI
>  Respecter les droits des personnes : lire l’article ICI
>  Sécuriser les données

Nous développerons ici les opérations à mener afin de créer et de faire vivre un registre des données conforme au nouveau règlement, les autres actions évoquées feront l’objet d’articles ultérieurs.

 

Etape n°1 :

Constituez un registre de vos traitements de données, document de recensement et d’analyse.

 

« L’obligation de tenir un registre des traitements concernent tous les organismes, publics et privés quelle que soit leur taille, dès lors qu’ils traitent des données personnelles ».
Pour rappel, consultez ici les définitions de la CNIL pour une donnée personnelle / un traitement de données personnelles.

Le registre des traitements :

  • est un outil de pilotage et de démonstration de la conformité au RGPD.
  • se présente sous la forme d’un document écrit.
  • recense les fichiers existants et permet donc d’avoir une vision d’ensemble de ce qui est fait avec les données personnelles.
  • est géré par le responsable de traitement (ou le sous-traitant le cas échéant).
  • est placé sous la responsabilité du dirigeant d’entreprise.

Pour sa mise en oeuvre, il convient d’IDENTIFIER les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données -exemple d’activités : gestion des clients/des prospects – gestion de la paie…

La CNIL propose un modèle de registre, à télécharger ici.

RGPD LIBELO Registre des traitement des données

Pour chacune des activités recensées, par exemple la gestion de la newsletter de LIBELO, on créé une fiche précisant :

Objectif/finalité – ex : envoi d’informations sur le marketing en général et sur LIBELO en particulier
Catégories de personnes concernées – ex : clients / prospects / prestataires / partenaires
Catégories de données collectées et utilisées – ex : adresse mail
Durée de conservation des données – ex : 2 ans
Destinataires de ces données / parties prenantes qui interviennent dans le traitement – ex : Isabelle Mahieu, LIBELO
Décrire également les mesures de sécurité prévues pour préserver la confidentialité des données.

Document à mettre à jour régulièrement pour :
se poser les bonnes questions relatives aux données collectées et conservées
identifier et hiérarchiser les actions à mettre en oeuvre afin d’être en conformité avec les règles de protection des données.

 

Quid du registre du sous-traitant ?

 

Il peut se présenter sous la même forme que le registre précédent.
Il permet de recenser les catégories d’activités de traitement effectuées pour le compte des clients.
Prévoir une fiche par catégorie d’activité.
Préciser nom et coordonnées de chaque client, détailler les opérations effectivement réalisées pour le compte du client et décrire les mesures de sécurité mises en oeuvre.

 

Plus d’informations sur le registre des activités de traitement ?

√ sur le site de la CNIL

√ en envoyant un message sur le site de LIBELO