Registre RGPD

Juridique

Comment mettre en place un Registre RGPD

Publié il y a 2 ans
Quand et comment mettre en place un registre RGPD ?
RGPD

Juridique

Comment mettre en place un Registre RGPD

Publié il y a 2 ans

Les points principaux

Recensement Gestion des risques Acccountability
Quand et comment mettre en place un registre RGPD ?

Quand et comment mettre en place un registre RGPD ?

Vous êtes un professionnel et traitez des données personnelles ? Vous avez l’obligation de tenir un registre RGPD, tel que le prévoit l’article 30 du RGPD (Règlement européen sur la protection des données personnelles), sous peine de sanctions. Mais quand et comment le mettre en place ? Nos conseils.

Le registre RGPD : une obligation légale dès la première donnée personnelle

Dès lors que vous traitez des informations personnelles sur vos clients, collègues, employés, etc., vous devez les recenser dans un document légal obligatoire : le registre des traitements de données. On parle aussi de registre des activités de traitement ou tout simplement de registre des traitements. Tous les organismes sont concernés, qu’ils soient publics ou privés et quelle que soit leur taille. Cependant, les entreprises de moins de 250 salariés ne doivent y indiquer que les traitements :

  • non occasionnels ;
  • susceptibles de porter atteinte aux droits et libertés des personnes ;
  • portant sur des données sensibles.

Sous format papier ou électronique, le registre RGPD constitue une preuve de mise en conformité à présenter en cas de contrôle de la CNIL ou en cas de litige. C’est aussi un outil précieux de pilotage qui permet d’avoir une vision globale des données et de recenser l’ensemble des activités de traitement mis en œuvre par votre organisme.

Mettre en place un registre des activités de traitement

Désigner un pilote

La tenue du registre des activités de traitement incombe au responsable de traitement, au sous-traitant ou au délégué à la protection des données (DPO). Véritable expert ayant des compétences juridiques, le DPO garantit votre mise en conformité au RGPD. Vous pouvez le choisir en interne ou en externe dans un cabinet spécialisé tel que DNA.

Recenser les traitements de données existants

Commencez par cartographier vos données en listant les différentes activités collectant des informations comme: la gestion de la paie, des fournisseurs, la gestion des fichiers clients, la vente en ligne, etc. Analysez également le site web pour identifier les données qui y sont traitées, collectées, manipulées…Puis, créez une fiche pour chaque activité en indiquant :

  • l’identité et les coordonnées de votre organisme ;
  • l’objectif principal de l’utilisation des données ;
  • les types de personnes concernées ;
  • les différentes catégories de données ;
  • les destinataires de ces données ;
  • les transferts de données hors Union européenne ;
  • la durée de conservation ;
  • les mesures de sécurité physique et/ou
  • les mesures de sécurité logique

Vous venez de réaliser une cartographie des traitements vous donnant accès à un registre complété.

Constituer un registre de sous-traitant

Si dans le cadre de vos activités, vous agissez sur instructions/pour le compte d'une autre structure, vous endossez la qualité de sous-traitant. Vous devez alors établir un second registre, le registre du sous-traitant avec les éléments suivants :

  • le nom et les coordonnées de vos clients et du responsable de traitement pour lequel vous traitez les données ;
  • l’identité et les coordonnées de vos propres sous-traitants ;
  • les catégories de traitements réalisés pour vos clients ;
  • les transferts de données hors de l’hexagone ;
  • les mesures de sécurité mises en place pour respecter le RGPD

Trier et mettre à jour les données

L’élaboration du registre RGPD permet de vérifier la pertinence des données collectées et de faire le tri pour ne garder que les données strictement nécessaires et pertinentes au regard de la finalité de votre traitement de données. C’est le moment également d’éliminer les données qui sont inutiles. Il conviendra ensuite de mettre votre registre à jour régulièrement, par exemple dès que vous mettez en place un nouveau traitement (changement de logiciel) ou que vous utilisez les données à des fins différentes. Le registre permet donc de recenser toutes les données collectées et d’analyser les traitements de données personnelles au sein de votre entreprise,de votre organisme privé ou public.Tenir un registre des activités de traitements vous permet d’identifier les actions de mise en conformité au RGPD à mener. C’est un travail long et méthodique. Pour en savoir plus, contactez-nous.

Du même thème

RGPD DPO
Juridique

Quel rôle pour le DPO dans le RGPD ?

Lire
data scraping
Juridique

Le data scraping, sérieusement ? Voilà ce dont vous devez vous assurer

Lire
GDPR RGPD
Juridique

Protection des données personnelles : quelles obligations pour les entreprises ?

Lire
Voir d'autres publications
Nous utilisons
des cookies.

Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus). Certains sont techniquement nécessaires, les autres sont utiles au bon fonctionnement de notre site ("statistiques").

En savoir plus

Ce site web,
comme la plupart,
utilise des cookies.

Vous pouvez les accepter ou vous y opposer, à vous de voir. Mais laissez-nous vous expliquer le pourquoi du comment, afin d'éclairer votre choix :

Sur internet, la collecte et le traitement des données sont omniprésents, et peuvent résulter d'une simple navigation sur un site web.....grâce à ces petites choses que l'on appelle les "Cookies". Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus), permettant de conserver des données relatives à votre navigation.
Comme notre site n'échappe pas à la règle, nous utilisons des Cookies.
Certains sont techniquements nécessaires. D'autres sont des outils pour analyser notre trafic (en prenant soin de ne pas vous identifier), utiles au bon fonctionnement de notre site et à sa sécurité. Vous pouvez accepter ou vous opposer à leur dépôt.

Les cookies nécessaires

Les cookies nécessaires contribuent à rendre un site Web utilisable en activant des fonctions de base comme la navigation de page et l'accès aux zones sécurisées du site Web. Le site Web ne peut pas fonctionner correctement sans ces cookies. C'est la raison pour laquelle votre consentement n'est pas requis.

Nom Fournisseur Expiration Type
dna_consent DNA 13 mois HTML
Stocke l'autorisation d'utilisation de cookies pour le domaine actuel par l'utilisateur.
dna_type DNA 10 minutes HTML
Ce cookie est utilisé pour distinguer les humains des robots.
dna_contact DNA 10 minutes JSON
Ce cookie est utilisé pour préremplir le formulaire de la page contact en fonction des actions de l'utilisateur.
SERVERID OVH Session HTML
Un cookie technique utilisé par notre hébergeur pour faire de la répartition de charge serveur.

Les cookies comme outils pour nos statistiques

Ces traceurs de mesure d'audience ont pour seul but l'élaboration de statistiques de fréquentation et de performance dans un souci de bon fonctionnement et d'amélioration de notre Site. Nous sommes les seuls à les utiliser, ils ne nous permettent pas un suivi global de votre navigation, et les statistiques émises sont strictement anonymes (réalisées par le biais de Matomo). Votre consentement n'est pas requis, mais vous pouvez vous opposer à leur utilisation en décochant la case correspondante. Cette opposition n'aura aucune incidence technique sur votre navigation.

Nom Fournisseur Expiration Type
_pk.id DNA - MATOMO 13 mois html
Utilisé pour stocker quelques détails à propos de l'utilisateur tel que son identifiant unique.
_pk.ses DNA - MATOMO 30 minutes HTML
Cookie à courte vie utilisé pour stocker temporaire des données sur la visite.
mtm_cookie_consent DNA - MATOMO 12 mois HTML
Est créé pour se souvenir du consementement de l'utilisateur pour stocker et utiliser des cookies statistiques.