RGPD et registre des traitements : tenue et mise à jour.
TOC Example
La contrathèque
Accédez gratuitement à nos modèles de contrats et templates
Vous récoltez des informations permettant d’identifier des personnes (utilisateurs, prospects, salariés) dans le cadre de votre entreprise ?
Vous avez donc entre les mains des données personnelles et à ce titre, vous êtes tenu de vous mettre en conformité au Règlement Général de Protection des données (RGPD).
La tenue d’un registre des traitements RGPD est une des obligations issues du règlement. En plus de le créer, vous devez constamment le mettre à jour.
Mini-sommaire :
- Qu’est-ce que le registre de traitement RGPD ?
- Qui doit tenir un registre des traitements ?
- Que contient le registre des traitements RGPD ?
- Mise à jour du registre : qui doit le faire et comment ?
- Conclusion
Qu’est-ce que le registre de traitement RGPD ?
C’est l’article 30 du RGPD qui définit l’obligation de tenir un registre. Il s’agit d’un document qui recense et analyse toutes les données personnelles récoltées et traitées par les entreprises.
C’est un moyen de documenter votre conformité, de prouver votre démarche en cas de contrôle, mais aussi de vous posez les bonnes questions sur la légalité et la légitimité des données personnelles en votre possession. Le registre de traitement, qui est un outil incontournable, peut-être complété avec d’autres démarches comme la certification RGPD.
Cela concerne aussi bien les responsables de traitement que les sous-traitants. Dans certaines structures, une personne est spécifiquement chargée de cette documentation, comme le DPO.
Qui doit tenir un registre des traitements ?
Ce registre rgpd est obligatoire pour toutes les structures, publiques ou privées, quelle que soit leur taille, qui récoltent et traitent des informations permettant d’identifier ou de rendre identifiables une personne.
L’étendue de cette obligation n’est toutefois pas la même selon que votre entreprise a plus ou moins de 250 salariés. Dans le premier cas, ne vous posez même pas la question : vous devez en avoir un.
Qu’en est-il si vous avez une entreprise de moins de 250 salariés ? L’article 30 semble plus clément, puisqu’il vous dispenserait d’en tenir un. Mais, ce registre redevient obligatoire si vous effectuez des traitements non occasionnels, des traitements dangereux pour les droits et libertés des personnes et des traitements sur des données sensibles.
Dans les faits, si vous avez des salariés, des prospects et des utilisateurs, vous n’aurez pas d’autres choix que de tenir un registre et de le mettre à jour.
Que contient le registre des traitements RGPD ?
Tous les modèles de registre rgpd sont sous forme écrite, libre à vous de choisir le format (tableau excel, logiciel ou autre).
L’article 30 énonce de façon non exhaustive ce qu’il doit contenir. Le registre diffère selon qu’il est tenu par un responsable de traitement ou un sous-traitant.
Mentions minimum à retrouver dans le registre du responsable de traitement :
- les coordonnées du responsable de traitement ;
- la finalité de la récolte et du traitement des données personnelles ;
- les personnes concernées (concrètement, vos utilisateurs, prospects, clients) ;
- les catégories des destinataires du traitement (vos sous-traitants par exemple) ;
- le délai pendant lequel vous allez conserver les données ;
- les mesures pour sécuriser les données traitées ;
- l’existence de transfert des données hors Union européenne.
Mentions minimum à retrouver dans le registre du responsable du sous-traitant :
- le nom et les coordonnées de chaque responsable de traitement pour le compte duquel le sous-traitant agit ;
- le nom du sous-traitant si le sous-traitant mandaté y a recours ;
- les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
- les transferts de données à caractère personnel vers un pays tiers ;
- les mesures de sécurité techniques.
Mise à jour du registre : qui doit le faire et comment ?
Si votre registre est correctement constitué, il sera aisé de le mettre à jour. En pratique, la mise à jour du registre des traitements RGPD doit avoir lieu en temps utile, c'est-à-dire en réponse à des changements liés à votre traitement des données.
Lorsque des modifications sont apportées à vos traitements (durée de conservation, destinataire, nouvelles données, activités,...), vous devez l’inscrire sur votre registre des traitements.
L’enjeu sera de mettre en place un process interne afin que chaque service ait le réflexe de remonter le moindre changement - relatif au traitement des données - qui pourrait avoir lieu dans le cadre de leurs missions.
Ainsi, si le service marketing décide de mettre en place une newsletter ou des publicités, alors que rien n’avait été fait jusqu’à présent, il conviendra d’ajouter cette activité au registre.
Conclusion
Un seul et même document vous permet de recenser l’ensemble des informations liées au traitement des données personnelles que vous récoltez dans le cadre de votre activité.
Il n’est pas optionnel et pire que cela, le registre des traitements RGPD se révèle être un des piliers de votre conformité.
Nos avocats RGPD peuvent vous accompagner dans cette démarche, n’hésitez donc pas à faire appel à eux.
L'abonnement juridique illimité pour les entrepreneurs
Fonds publics, conflit d'associés, mise en conformité RGPD, M&A, contentieux : découvrez toutes nos offres conçues pour les startups.