Le registre de traitement : un outil clé dans votre dispositif de conformité RGPD
RGPD : le registre des activités de traitement vous permet de recenser l’ensemble des traitements de données personnelles que vous réalisez
Outil incontournable de votre conformité au RGPD : légalement obligatoire mais qui va aussi vous aider à y voir plus clair !
De plus, vous pourrez mieux maîtriser votre patrimoine informationnel en vous posant les bonnes questions et en limitant vos risques.
Mais que dit la loi ?
La mise en place du registre des activités de traitement est une obligation prévue par l’article 30 du RGPD. En effet, il fait partie de votre référentiel de conformité et vous devez être à même de le fournir à la CNIL en cas de contrôle.
Ainsi, vous devez identifier pour chaque traitement de donnée personnelle que vous réalisez :
- les parties prenantes intervenant dans le traitement des données,
- les catégories de données traitées,
- à quoi servent ces données, qui y accède et à qui elles sont communiquées,
- combien de temps elles sont conservées,
- comment elles sont sécurisées.
Et qui est concerné ?
Si vous traitez des données personnelles alors vous avez l’obligation de tenir un registre des traitements et ce, quelque soit votre taille et votre secteur d’activité.
Cependant, si vous êtes une organisation de moins de 250 collaborateurs, vous bénéficiez d’un assouplissement dans la tenue du registre. En effet, il sera limité aux traitements :
- non occasionnels (gestion de la paie, etc…)
- susceptibles de comporter un risque pour les droits et libertés des personnes (géolocalisation, vidéosurveillance, etc…)
- qui portent sur des données sensibles (données de santé, infractions, etc…)
Mais, en pratique, j’arrive tout de même assez vite à un peu plus d’une quarantaine de traitements pour mes clients qui sont des petites structures !
Pour la petite histoire, j’ai également demandé au site service public.fr d’apporter un correctif à ce sujet. C’est chose faite depuis hier et j’ai eu un petit mail de remerciement ! Il faut dire que l’obligation erronée de tenir un registre qu’à partir du seuil de 250 collaborateurs a longtemps circulé sur le net et dans certains quizz. Alors voici de quoi remettre toutes les pendules à l’heure 🙂
Avant correctif / Après correctif
Conseil – modèle du registre
Pour ma part, j’utilise le modèle de registre des activités de traitement de la CNIL car il sera beaucoup plus facile en cas de contrôle de partir d’un document qui ne sera pas contesté par le régulateur !
Si vous ne savez pas comment le compléter, je peux vous apporter un appui et du conseil alors N’hésitez pas à me contacter.