L’importance du registre de traitement de données

L’importance du registre de traitement de données

Le règlement général, venant appuyer la loi informatique et libertés, modifie en totalité les principes de base de la protection des données personnelles. Parmi les obligations de chaque entreprise, on peut citer la tenue d’un registre RGPD permettant de mieux gérer son activité.

Pourquoi faut-il tenir un registre de traitement ?

Le registre de traitement existe depuis la loi informatique et libertés. Cela permettait de prouver sa bonne foi auprès de la Commission Nationale de l’Informatique et des Libertés ou la CNIL. Aujourd’hui, ce registre remplace l’obligation de notification vis-à-vis de la CNIL. Selon le RGPD, tenir un registre pour traiter les données permet au responsable de traitement et à son sous-traitant de prouver que les activités sont conformes et que les informations personnelles sont bien sauvegardées. Les entités sont responsables des informations relatives aux personnes physiques concernées. Le registre rgpd est donc un outil précieux garantissant la sécurité des données.

 

Les entreprises concernées par la protection des données à caractère personnel et le registre rgpd

Généralement, l’obligation de tenir un registre des traitements de données concerne les responsables de traitement et leur représentant. Toutefois, une entreprise ayant moins de 250 salariés est contrainte à une politique de confidentialité différente sauf dans les cas suivants :

  • Le traitement est habituel (gestion client, ressources humaines, gestion des fournisseurs) ;
  • Le traitement comporte des risques pour les droits et les libertés d’autrui ;
  • Le traitement porte sur des données sensibles ou judiciaires.

Dans la plupart des cas, tenir un registre rgpd de traitement est obligatoire. Cela permet de garantir la conservation des données jusqu’à leur finalité et d’adopter une démarche relative à la protection des données personnelles.

 

Maintenir la mise en conformité d’un registre de traitement de données à caractère personnel

Pour se conformer à la RGPD et à la loi informatique et libertés, il faut être méthodique. Pour ce faire, vous devez :

  • Faire le point sur les dispositifs de traitement des données personnelles ;
  • Désigner un DPO pour la protection des données ;
  • Alerter tout le personnel ayant une activité pouvant impacter sur la gestion du registre des traitements de données ;
  • Catégoriser les types de traitements ;
  • Désigner un responsable de traitement de vos données personnelles ;
  • Cerner les données ayant été transférées hors de l’UE ;
  • Indiquer la finalité de chaque traitement ;
  • Revoir le système de protection de vos données.

Le contenu du registre des traitements

Les informations à mettre varient en fonction de la qualité de la personne en charge des données : responsable du traitement ou sous-traitant.

 

En ce qui concerne le responsable du traitement

Le registre rgpd doit mettre en avant le nom et les coordonnées du responsable du traitement et du DPO, la finalité du traitement, la description précise des données traitées et des personnes concernées, les destinataires et les éventuels transferts ou encore le délai de conservation et la description des mesures de sécurité mises en œuvre.

 

En ce qui concerne le sous-traitant

Dans le registre devront être mentionnés :

  • Le nom et les coordonnées du sous-traitant avec ceux du responsable de traitement ;
  • Les catégories de traitement faits ;
  • Les transferts vers un pays autre que celui du citoyen concerné ;
  • La description des mesures de sécurité mises en œuvre.

Aujourd’hui, il faut savoir qu’il n’y a pas de modèle type pour la tenue d’un registre de traitement. Vous pouvez donc sélectionner une forme écrite ou une forme électronique. Il faut que le registre rgpd soit bien clair, concis et surtout lisible. Dans tous les cas, l’autorité de contrôle a émis un modèle de registre qu’il sera possible de consulter.