RGPD : Suis-je obligé de tenir un registre des traitements

Le RGPD s’applique à tous les organismes (RGPD : êtes vous concerné ?), publics ou privés, petits ou grands traitant des données à caractère personnel de citoyens européens.

Les français sont inquiets quant à l’utilisation qui est faite de leurs données personnelles. La mise en conformité RGPD est donc une opportunité pour les entreprises de répondre à un réel besoin de transparence et de sécurité. (RGPD : avez vous des raisons de vous inquiéter ?)

Le registre des traitements est un outil essentiel dans les opérations de mises en conformités. Il permet de recenser les traitements, et par la même occasion, de disposer d’une vue d’ensemble sur les processus organisationnels des données personnelles dans les entreprises.

Tout organisme traitant des données personnelles est tenu d’établir un registre des traitements et de le mettre régulièrement à jour.

Ce registre est demandé par la CNIL dans le cadre de sa mission de contrôle.

Le registre doit comporter les coordonnées de votre organisme et doit permettre d’identifier toutes les parties prenantes qui interviennent dans le traitement des données (internes et externes à l’entreprise).

Tous les traitements que vous opérez doivent y figurer et pour chaque traitement vous devez expliciter :

• Les catégories de données traitées (identitaires, démographiques, sociologiques, santé …)
• Leurs durées de conservation
• Les droits d’accès
• Les méthodes de sécurisation
• La finalité du traitement

Vous trouvez la liste complète sur le site de la CNIL : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement

Les entreprises de moins de 250 salariés bénéficient d’une dérogation. Elles sont autorisées à n’inscrire dans le registre que les traitements récurrents (ex. fiches de paies, note de frais, gestions des clients, prospects …), les traitements concernant des données sensibles (ex : santé, infractions …) et les données pouvant porter atteintes aux libertés des personnes (géolocalisation, vidéosurveillance…).

Une opération occasionnelle et ne comportant aucun risque pour les personnes ne sera pas obligatoirement notifiée dans le registre. C’est par exemple le cas d’une campagne d’emailing concernant l’ouverture d’une nouvelle enseigne. La gestion des prospects doit tout de même figurer dans le registre.

La CNIL met à disposition un modèle de registre destiné à répondre aux besoins courants en matière de traitements de données pour les petites et moyennes structures.

Télécharger votre modèle : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf