+33 1 86 65 20 01

Enregistrement

Le registre des traitements est un outil indispensable pour assurer votre conformité au RGPD et vous permettre de gérer efficacement vos traitements de données.

Ce registre vous donne une vue d’ensemble sur vos opérations de traitement et facilite la gestion et le suivi de leur conformité.

Pour instaurer un registre conforme aux exigences du RGPD, il est nécessaire de bien comprendre les objectifs de cet outil.

Alors, comment tenir efficacement un registre des traitements ?

Qu’est-ce qu’un registre des traitements ?

Le registre des traitements est un document qui recense les opérations liées aux traitements des données effectués par le traitant ou son sous-traitant.

En effet, l’obligation de tenir un registre des traitements ne se limite plus aux responsables des traitements, mais est désormais étendue aux sous-traitants.

Les informations à indiquer dans ce registre varient en fonction de votre fonction dans le processus de traitement.

Pourquoi mettre en place un registre des traitements?

Le registre a plusieurs fonctions, dont celle de remplacer les demandes et autorisations préalables auprès de la CNIL.

Cet objectif répond à une volonté de responsabilisation des structures.

Le registre permet en effet aux structures de démontrer que leur gestion des données est conforme au RGPD et de mieux maitriser leurs opérations de traitement.

Si vous êtres le traitant, ou un responsable du traitement de données, vous devez y mentionner les éléments suivants :

1. Votre nom et vos coordonnées professionnelles, ainsi que ceux du DPO ;

2. Une description des finalités de la collecte et du traitement des données effectués par votre structure ;

3. Une description des données traitées et de leurs différentes catégories ;

4. Une description des utilisateurs fournissant ces données ;

5. Les informations nécessaires à l’identification du destinataire des données ;

6. Les délais de conservation des données ;

7. Une description des mesures prises pour assurer la sécurité des données ;

8. Si les données sont transférées dans des pays hors UE, le registre destraitements doit mentionner les garanties entourant ces transferts.

En tant que sous-traitant, les informations sont moindres puisque le registre doit ne contenir que les points 1, 3, 7 et 8. Vous devez aussi ajouter votre nom et vos coordonnées.

Dans les deux cas ci-dessus, les informations citées correspondent au minimum légal à respecter pour s’assurer d’être en conformité avec la loi. Vous pouvez tout à fait ajouter tout élément qui vous semblera pertinent.

Auparavant, les démarches préalables auprès de l’autorité de contrôle laissaient à celle-ci la responsabilité de certifier les opérations de traitements d’une structure comme conformes ou non.

Dois-je tenir un registre des traitements ?

L’obligation de tenir un registre des traitements s’applique à tous les responsables de traitement de données et à leurs sous-traitants. Il existe cependant une exception, elle-même parsemée de « sous-exceptions ». En effet, les entreprises de moins de 250 employés peuvent s’affranchir de l’obligation de tenue d’un registre des traitements, à certaines conditions.

Pour satisfaire aux conditions de cette exception, les structures concernées doivent effectuer des traitements de données de manière occasionnelle, les données traitées ne doivent pas être caractérisées comme sensibles ou avoir de caractères judiciaires, et les traitements ne doivent pas comporter de risques pour les droits et libertés de la personne.

Comment tenir un registre des traitements ?

Pour l’heure, il n’existe pas de modèles ni de méthodes obligatoires et prédéfinis par le RGPD. La CNIL, comme de nombreuses autres autorités de contrôles européennes, propose cependant un modèle de registre pour faciliter la mise en conformité des structures.

Les seules consignes à respecter concernant la tenue des registres des traitements est de les présenter de façon claire, lisible et compréhensible. Ils doivent en effet pouvoir, au besoin, être vérifiés par la CNIL sans présenter d’ambigüités et sans poser de difficultés de compréhension.

Nous contacter