Comment établir un registre des traitements de données ?

dessin illustrant la protection RGPDSelon l'article 30 du RGPD (Règlement Général sur la Protection des Données), les entreprises doivent tenir un registre des traitements de données personnelles afin de se mettre en conformité avec ce règlement européen. Plus qu’un simple document obligatoire, ce registre permet à un organisme d’avoir un aperçu global des activités de traitement des données qu’il mène. Ainsi, la question se pose : comment établir un registre des traitements de données ? Les réponses dans cet article.

Tenir un registre des traitements de données : principes et avantages

L’obligation de tenir un registre de traitement ne date pas d’hier. Auparavant, la Loi Informatique et Libertés imposait déjà cela pour tout traitement exempt de déclaration auprès de la CNIL. C’était au responsable informatique et libertés de tenir le registre des activités de traitement à partir des informations fournies par le responsable du traitement.

Importance de la tenue d’un registre de traitement

Aujourd’hui, cette obligation relative à la protection des données personnelles est adressée aux responsables du traitement et aux sous-traitants. Pour tout organisme public ou privé comptant plus de 250 employés, cette documentation s’avère obligatoire pour se mettre en conformité au RGPD. Le but principal est d’optimiser au mieux la protection des données à caractère personnel, ce qui est non seulement favorable pour toute personne concernée par les traitements, mais aussi pour l’entreprise.

Pour aller plus loin : Certifiez votre prévention, protégez juridiquement votre entreprise.

Avantages de tenir un registre de traitement des données

Pourquoi établir un registre des traitements de données ? Tout d’abord, parce que c’est une obligation pour tout organisme traitant des données à caractère personnel, mais aussi parce que cela peut devenir un bon outil de pilotage pour l’entreprise. La tenue d’un registre de traitement est avantageuse pour :

  • L’entreprise : cela permet aux responsables et sous-traitants d’avoir une ébauche des activités de traitements. Cela facilitera davantage la mise en application des règles de sécurité du RGPD et permettra donc de veiller à la conformité avec cette réglementation.
  • Les personnes concernées : le registre de traitement constitue pour elles un gage de sécurité et de protection de leurs données personnelles. Cela leur assure que ces dernières seront traitées dans le total respect de leurs droits et libertés.

Que doit contenir le registre des traitements de données ?

Comment constituer un registre de traitement de données ? Avant tout, il faut savoir que la CNIL exige qu’une entreprise tienne deux registres :

  • Un registre du responsable de traitement
  • Un registre du sous-traitant

Le registre du responsable de traitement

Que contient le registre du responsable de traitement ? Il détaille l’ensemble des activités de traitement opérées par l’entreprise. Une fois que le responsable du traitement finit de collecter ces informations, il devra établir une fiche de registre pour chaque activité recensée.

En principe, dans ce registre doivent figurer le nom et les coordonnées :

  • De l’entreprise
  • De son représentant, s’il ne fait pas partie de l’Union européenne
  • De son Délégué à la protection des données

Quant à la fiche de registre, elle doit au moins comporter les informations suivantes :

  • Si possible, le nom et les coordonnées du responsable conjoint du traitement
  • Les finalités du traitement des données, c’est-à-dire les objectifs pour lesquels les données à caractère personnel ont été collectées
  • Les catégories (ex. client, employé, prospect…) de personnes concernées par le traitement de données
  • Les différentes catégories de données à caractère personnel : identité, données de banques, de connexion, de localisation, situation familiale, etc.
  • Les catégories des destinataires auxquels l’organisme remettra les données personnelles
  • Tous les transferts de données personnelles vers un autre pays/une organisation internationale
  • Les délais prévus concernant l’effacement des catégories de données collectées (durée de conservation des données).

Le registre de traitement du sous-traitant

Comment constituer le registre de traitement du sous-traitant ? Le registre de traitement du sous-traitant doit contenir l’ensemble des catégories d'activités de traitement de données personnelles qui sont réalisées pour le compte des clients. Il devra comporter au minimum :

  • Le nom et les coordonnées du client, ainsi que du responsable de traitement pour qui l’organisme opère le traitement des données
  • Le nom et les coordonnées des sous-traitants auxquels l’entreprise a recours
  • L’ensemble des catégories de traitement de données collectées pour le compte des clients de l’organisme
  • Les transferts de données personnelles vers un autre pays/une organisation internationale
  • Le cas échéant, une description générale des mesures de sécurité techniques et organisationnelles mises en place pour assurer la sécurité des données.

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !