Comment tenir un registre des traitements conforme au RGPD ?

RGPD Alain Garnier Captain DPO

Le Règlement Général sur la Protection des Données (ou RGPD) entrera en vigueur le 25 mai 2018, et sera applicable à toutes les instances publiques et les entreprises privées effectuant des traitements de données personnelles à grande échelle.

Il instaure le principe d’accountability, chaque acteur doit être en mesure de démontrer, à tout moment, la conformité de ses activités de traitement à la réglementation applicable, d’où la nécessité de tenir un registre de traitements. C’est l‘une des principales obligations pour se mettre en conformité au RGPD.

SOMMAIRE :

Suggestion de logiciels pour vous

GDPR Drop

GDPR Drop
La solution collaborative pour le registre des traitements
Version d'évaluation
Voir ce logiciel

Oxibox

Oxibox
Gamme complète de solutions de sauvegarde
Demande d'informations
Voir ce logiciel

CLOUD IKOULA ONE

CLOUD IKOULA ONE
Le cloud public au service inégalé en France
Offre exclusive à 1 € / mois
Voir ce logiciel

Qui doit tenir un registre de traitements ?

Toutes les entreprises et administrations de plus de 250 employés sont concernées et dans l’obligation de tenir un registre de traitements selon le RGPD.

Cependant, les entreprises avec moins de 250 salariés sont également concernées, et doivent établir un registre de traitements lorsqu’elles se retrouvent dans l’un des cas suivants :

  • Le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées (les traitements donnant lieu à une discrimination, révélant l’origine raciale, etc.) ;
  • Le traitement est habituel (la gestion du personnel (RH), la gestion des fournisseurs ou à la gestion de la clientèle, qui ne se font pas occasionnellement.) ;
  • Le traitement effectué porte sur des catégories particulières de données, appelées « données sensibles » (les données concernant l’origine raciale ou ethnique, la religion ou les convictions, les opinions politiques ou toute autre opinion, la santé, etc.) ;
  • Le traitement effectué porte sur des données judiciaires.

La réglementation précise que l’absence de désignation d’un délégué à la protection des données (DPO) ne dispense pas l’organisme de tenir un registre des traitements.

Le nouveau règlement oblige également les sous-traitants des données personnelles de tenir un registre des traitements.

Que doit contenir un registre de traitements ?

Les informations figurant sur le registre de traitements devront permettre de répondre aux questions suivantes :

  • Qui ? On vise les données personnelles du responsable de traitement,
  • Pourquoi ? Cela revient à décrire la finalité du traitement des données,
  • Quoi ? Il s’agit des différentes catégories des personnes concernées et des données traitées,
  • Où ? Il s’agit de localiser les données ainsi que de préciser les destinataires de celles-ci,
  • Jusqu’à quand ? Les délais prévus de destruction doivent être définis,
  • Comment ? Il s’agit de décrire les mesures de sécurité techniques et organisationnelles à mettre en place pour protéger les données.

Comme il n y a pas de liste mentionnant les éléments exacts qui doivent figurer sur un registre de traitement, il est possible de rajouter d’autres éléments complémentaires tel que la nécessité d’une analyse d’impact, le relevé des violations de données etc.

Exemple de registre de traitements avec CaptainDPO

CaptainDPO édite une solution logicielle en SaaS pour aider les DPO à gérer la conformité de leur organisation vis-à-vis du RGPD.

Exemple de registre des traitements pour la mise en conformité RGPD avec Captain DPO

Sur la plateforme CaptainDPO, dans la rubrique « Registre des traitements », tous les traitements de données à caractère personnel gérés par une société ou plusieurs ( Dans le cas d’un DPO externalisé qui s’occupe de plusieurs clients ) sont affichés.

 Quand il s’agit d’un DPO qui s’occupe d’un seul registre on retrouve :

  • Une liste regroupant les différents traitements est présentée,
  • Les responsables du traitement,
  • La société,
  • Le statut de chaque traitement (En cours – Conforme – Non conforme).

CaptainDPO va permettre de savoir là où on n’est pas conforme pour pouvoir mener les actions nécessaires en créant des tâches et des mises en conformité.
 

Tenir un registre de traitement pour être conforme au RGPD

Les détails de chaque traitement sont également disponibles, ils regroupent :

  • La description globale du traitement,
  • Le responsale du traitement,
  • La finalité du traitement,
  • Les mesures de sécurité permettant de protéger les données,
  • La catégorie des données traitées,
  • La localisation des données ( En cas de transfert de données hors UE).

La gestion multi-registres est désormais intégrée sur CaptainDPO pour les DPO externes.

Les sanctions en cas de non-respect de cette obligation

Le non-respect de l’obligation de tenir un registre des traitements ou l’absence d’analyse d’impact préalable aux traitements des données personnelles peut entrainer de sévères sanctions.

Le montant de l’amende peut atteindre 2 % du chiffre d’affaires mondial de l’entreprise ou la somme de 10 millions d’euros. Le montant le plus élevé sera celui qui sera retenu.

Suggestion de logiciels pour vous

IKOULA Serveur Dédié

IKOULA Serveur Dédié
Des serveurs 100% dédiés avec les options de votre choix
Devis et achat en ligne
Voir ce logiciel

BeBackup

BeBackup
Logiciel de sauvegarde Cloud Client/Serveur
Essayer gratuitement
Voir ce logiciel

Cloud Pilot Systems

Cloud Pilot Systems
Le Cloud infogéré qui allie sécurité, évolution et pérennité
Choisir un hébergement
Voir ce logiciel
Commenter cet article

Ajouter un commentaire