Votre registre de traitement
Votre registre des activités de traitement : tout un chantier ?
RGPD-Experts vous empêche de foncer droit dans le mur !
Vos démarches en matière de protection des données personnelles constituent une préoccupation de plus, s’ajoutant à votre stratégie de développement, à votre organisation interne et au lot d’imprévus qu’impliquent vos activités ?
Vous avez plusieurs chantiers en route et ne savez plus où donner de la tête pour consacrer à la protection de vos données personnelles tout le temps et toute l’énergie qu’elle mérite ? Vous frappez à la bonne porte en vous adressant à RGPD-Experts !
ZOOM SUR LE PRINCIPE D’ « ACCOUNTABILITY »
Le principe d’Accountability est une innovation issue du Règlement Général sur la Protection des Données (RGPD).
→ Avant l’entrée en vigueur de ce texte, il revenait à l’autorité de contrôle de démontrer qu’une entité ne satisfaisait pas aux exigences légales en matière de protection des données.
→ Depuis, il appartient à l’organisme de démontrer sa conformité auprès de l’autorité régulatrice, voire auprès de ses partenaires commerciaux.
Et pas question d’essayer d’arrondir les angles en cas de demande de la CNIL[1] sur ce point ! Si vous vous emmêlez les pinceaux dans l’explication de vos efforts sur le sujet, la Commission pourrait sortir de ses gonds. Vous risquez alors qu’elle initie une enquête à votre encontre, voire vous inflige une sanction prenant fréquemment la forme d’une amende administrative salée. Cela suppose donc de ménager la preuve de votre respect des règles applicables sur la protection des données personnelles, et de graver dans le marbre toutes les actions que vous avez accomplies en ce sens.
ZOOM SUR UNE OBLIGATION CENTRALE : LE REGISTRE DES ACTIVITÉS DE TRAITEMENT
L’article 30 du RGPD impose à tous les responsables de traitement et à tous les sous-traitants de tenir par écrit un registre de leurs activités de traitement, que ce soit de façon manuscrite ou digitale.
→ Qu’est-ce qu’une activité de traitement ?
Selon l’article 4(2) RGPD, il s’agit d’une “opération ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement)” .
Remarque : si les entités comptant moins de 250 employés ou membres bénéficient en principe d’une dérogation pour la tenue de ce registre, cette mesure de faveur comporte de nombreuses limites. En effet, ces organismes doivent tout de même consigner dans un registre les traitements :
(1) Portant sur des données sensibles ;
(2) Comportant un risque pour les droits et libertés de personnes concernées ;
(3) Présentant un caractère non occasionnel.
Or, la plupart des activités de traitement des entreprises sont récurrentes (traitements mis en œuvre pour la gestion de la paie, des clients/prospects, des fournisseurs, gestion d’un SAV, qualité, sollicitations commerciales, etc.). Eh oui, envoyer une newsletter une fois par an est bien un traitement récurent ! Aussi comme vous pouvez le constater, Les hypothèses couvertes par cette exception sont donc, en pratique, maigres comme un clou…
Nous ne pouvons que vous conseiller de parfaitement documenter les raisons pour lesquelles, vous êtes exonéré de la tenue d’un registre des activités de traitement pour votre structure.
Avant de constituer votre registre, nous vous recommandons de :
① Recenser l’ensemble des traitements de données mis en œuvre au sein de votre organisme
En effet, votre registre doit comprendre une fiche par activité de traitement de données effectué, quel que soit le support de ce système d’information (numérique ou papier). Attention à ne pas confondre finalité et outil utilisé pour la finalité du traitement. Word, Excel, par plus que MySQL etc, ne sont pas des traitements.
Chaque opération poursuivant une finalité différente doit être listée.
Exemple : une fiche de traitement pour la gestion des données de ressources humaines de votre organisme, une pour la gestion de vos fichiers de clientèle, etc.
② Identifier le rôle de chacun des acteurs de ce traitement de données
Cette étape vous permet de savoir si vous agissez en tant que responsable de traitement, en qualité de sous-traitant, voire responsable conjoint de traitement [2].
Vous serez en effet soumis à des devoirs différents, selon votre qualité.
③Analyser les risques pesant sur chaque traitement de données mis en œuvre, afin de ne conserver que ceux strictement nécessaires à votre activité.
Nous n’inventons pas l’eau chaude en vous rappelant que limiter le nombre de ces opérations de traitement revient à limiter d’autant vos risques de violer les règles en vigueur en matière de protection des données, et donc de voir votre responsabilité engagée…
* * *
Le contenu de ce registre est précisément défini par les textes. Les mentions devant obligatoirement y figurer sont tirées au cordeau au sein de l’article 30 du RGPD.
Nous attirons votre attention sur le fait que ce registre doit refléter la réalité de l’activité spécifiquement poursuivie par votre organisme. Nous vous déconseillons de recourir à des modèles types de registre qui ne correspondent pas avec les missions concrètement poursuivies par votre entité.
De même, il convient de prendre du temps pour mettre régulièrement à jour ce registre. Il y a lieu d’éviter toute actualisation en dents de scie, effectuée au gré de l’emploi du temps des personnes en charge de cette tâche. Or, tel est précisément le problème que rencontrent de nombreux organismes. Le caractère chronophage de certaines formalités affecte souvent l’assiduité des entités dans leurs démarches de conformité. Mais, à force de négliger ces impératifs, celles-ci pourraient malheureusement se retrouver au pied du mur en cas de réclamations ou d’investigations…
Fini de devoir choisir entre la poursuite de vos activités et le respect de vos obligations légales en matière de protection des données. Pour que vous n’ayez plus la tête entre le marteau et l’enclume, RGPD-Experts a conçu une solution révolutionnaire pour vous remettre d’aplomb !
ZOOM SUR REGISTER +, VOTRE SOLUTION POUR CONSTRUIRE SIMPLEMENT ET EFFICACEMENT VOTRE CONFORMITÉ
Outre son caractère impératif, le registre des activités de traitement présente de nombreux avantages s’il est sérieusement constitué. Il s’avère alors être un outil précieux pour :
- L’identification de vos besoins et de vos obligations en matière de protection des données
- Le pilotage de votre conformité
- La démonstration de votre conformité (Accountability)
Pour vous aider à tirer pleinement profit de cette documentation, RGPD-Experts a mis au point pour vous REGISTER +. Intuitif et sécurisé, ce logiciel vous permettra de rédiger et de mettre à jour votre registre des activités de traitement en toute simplicité, et de superviser vos actions RGPD en temps réel.
REGISTER + ne se contente pas de vous rappeler les informations devant impérativement figurer dans votre registre.
Il vous aide à bâtir une véritable logique de performance et d’amélioration continue en matière de protection des données à travers ses diverses fonctionnalités, et notamment :
- Ses audits automatisés de votre situation sur cette problématique
- Ses dispositifs de détection automatisée des vulnérabilités de vos systèmes d’information ;
- Son module d’affectation et de suivi des tâches à accomplir, avec date programmée et relances automatiques ;
- Ses options de gestion de vos autres documents essentiels (registre des formations, des violations de données et failles de sécurité, des sous-traitants, des demandes des droits des personnes concernées, etc.).
L’interface flexible de REGISTER + vous permettra d’adapter le contenu de ce registre à vos propres activités, via des options de “commentaires” et de “détails”.
Pour plus d’informations, nous vous invitons
A consulter l’onglet dédié de notre site Internet :
https://www.rgpd-experts.com/register/#prev
Ou à nous adresser vos questions via notre formulaire de contact :
https://www.rgpd-experts.com/contactez-rgpd-experts/
Comme tout sujet pilier de votre organisme, votre conformité mérite d’être construite sur des fondements solides. Il est important pour cela d’être bien outillé, afin d’éviter de vous faire serrer la vis par les autorités de régulation en matière de protection des données. Avec REGISTER +, soyez à pied d’œuvre en cas de contrôle !
[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.
[2] Est un responsable de traitement au sens du RGPD toute personne physique ou morale qui détermine les moyens et les finalités du traitement, là où le sous-traitant sous-traitant traite des données pour le compte d’un autre organisme.
L.H
Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.