Comment tenir un registre des traitements conforme au RGPD ?

Par Alain Garnier
Mis à jour le 2 septembre 2019, publié initialement en mars 2018
rgpd alain garnier captain dpo

Le Règlement Général sur la Protection des Données (ou RGPD) entrera en vigueur le 25 mai 2018, et sera applicable à toutes les instances publiques et les entreprises privées effectuant des traitements de données personnelles à grande échelle.

Il instaure le principe d’accountability, chaque acteur doit être en mesure de démontrer, à tout moment, la conformité de ses activités de traitement à la réglementation applicable, d’où la nécessité de tenir un registre de traitements. C’est l‘une des principales obligations pour se mettre en conformité au RGPD.

SOMMAIRE :

Qui doit tenir un registre de traitements ?

Toutes les entreprises et administrations de plus de 250 employés sont concernées et dans l’obligation de tenir un registre de traitements selon le RGPD.

Cependant, les entreprises avec moins de 250 salariés sont également concernées, et doivent établir un registre de traitements lorsqu’elles se retrouvent dans l’un des cas suivants :

  • Le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées (les traitements donnant lieu à une discrimination, révélant l’origine raciale, etc.) ;
  • Le traitement est habituel (la gestion du personnel (RH), la gestion des fournisseurs ou à la gestion de la clientèle, qui ne se font pas occasionnellement.) ;
  • Le traitement effectué porte sur des catégories particulières de données, appelées « données sensibles » (les données concernant l’origine raciale ou ethnique, la religion ou les convictions, les opinions politiques ou toute autre opinion, la santé, etc.) ;
  • Le traitement effectué porte sur des données judiciaires.

La réglementation précise que l’absence de désignation d’un délégué à la protection des données (DPO) ne dispense pas l’organisme de tenir un registre des traitements.

Le nouveau règlement oblige également les sous-traitants des données personnelles de tenir un registre des traitements.

Que doit contenir un registre de traitements ?

Les informations figurant sur le registre de traitements devront permettre de répondre aux questions suivantes :

  • Qui ? On vise les données personnelles du responsable de traitement,
  • Pourquoi ? Cela revient à décrire la finalité du traitement des données,
  • Quoi ? Il s’agit des différentes catégories des personnes concernées et des données traitées,
  • Où ? Il s’agit de localiser les données ainsi que de préciser les destinataires de celles-ci,
  • Jusqu’à quand ? Les délais prévus de destruction doivent être définis,
  • Comment ? Il s’agit de décrire les mesures de sécurité techniques et organisationnelles à mettre en place pour protéger les données.

Comme il n y a pas de liste mentionnant les éléments exacts qui doivent figurer sur un registre de traitement, il est possible de rajouter d’autres éléments complémentaires tel que la nécessité d’une analyse d’impact, le relevé des violations de données etc.

Exemple de registre de traitements avec CaptainDPO

CaptainDPO édite une solution logicielle en SaaS pour aider les DPO à gérer la conformité de leur organisation vis-à-vis du RGPD.

Exemple de registre des traitements pour la mise en conformité RGPD avec Captain DPO
  • Une liste regroupant les différents traitements est présentée,
  • Les responsables du traitement,
  • La société,
  • Le statut de chaque traitement (En cours – Conforme – Non conforme).

CaptainDPO va permettre de savoir là où on n’est pas conforme pour pouvoir mener les actions nécessaires en créant des tâches et des mises en conformité.

Tenir un registre de traitement pour être conforme au RGPD


Les détails de chaque traitement sont également disponibles, ils regroupent :

  • La description globale du traitement,
  • Le responsale du traitement,
  • La finalité du traitement,
  • Les mesures de sécurité permettant de protéger les données,
  • La catégorie des données traitées,
  • La localisation des données ( En cas de transfert de données hors UE).

La gestion multi-registres est désormais intégrée sur CaptainDPO pour les DPO externes.

Les sanctions en cas de non-respect de cette obligation

Le non-respect de l’obligation de tenir un registre des traitements ou l’absence d’analyse d’impact préalable aux traitements des données personnelles peut entrainer de sévères sanctions.

Le montant de l’amende peut atteindre 2 % du chiffre d’affaires mondial de l’entreprise ou la somme de 10 millions d’euros. Le montant le plus élevé sera celui qui sera retenu.

La transparence est une valeur essentielle pour Appvizer. En tant que média, nous avons pour objectif d'offrir à nos lecteurs des contenus utiles et de qualité tout en permettant à Appvizer de vivre de ces contenus. C'est pourquoi, nous vous invitons à découvrir notre système de rémunération.   En savoir plus
rgpd jerome chagnoux oracle
Conseil
l’année dernière
Comment Anonymiser - Pseudonymiser des données en open data ?
Conformément au RGPD, le chiffrement est devenu une obligation afin de sécuriser les données. Business Development Manager Sécurité et GDPR Champion chez Oracle France, Jérôme Chagnoux nous apporte son point de vue d'expert sur la question de l'anonymisation des données.
rgpd olivier martineau spread0
Livre blanc
il y a 2 ans
RGPD : comment passer à un marketing qui valorise les données ?
Mettez votre marketing digital en conformité avec le RGPD : téléchargez le guide pour assurer la protection des données personnelles, un traitement responsable et collecter des adresses emailing récoltées avec consentements en double optin : Olivier Martineau, CEO de Spread vous dit tout !
Conseil backgroundillustration police
Conseil
il y a 2 ans
RGPD 2018 : l’essentiel à connaître pour préparer son entreprise
Vous n’avez pas envie de parcourir tout le site de la CNIL pour comprendre le GRPD n’est-ce pas ? appvizer vous donne l’essentiel de l’information à connaître pour mettre votre entreprise en conformité, avec en bonus les meilleurs outils pour fournir les preuves à l’autorité de contrôle en 2018. Respirez !
rgpd alexis quentrec nuageo
Conseil
il y a 2 ans
Audit RGPD : lier l’utile à l’agréable
Que comprend un audit RGPD ? Quel comportement adopter ? Comment se passe cette démarche visant la conformité ? Alexis Quentrec, spécialiste RGPD chez Nuageo, Cabinet de Conseil Cloud Computing, vous apporte ses lumières.
rgpd iteanu avocats oodrive
Conseil
il y a 2 ans
Oodrive : quand le DPO s’appuie sur des Privacy Champions
Face au enjeux du RGPD, le DPO n'est pas forcément isolé. Olivier Iteanu, du Cabinet Iteanu Avocats, et François-Xavier Vincent, Group CISO & DPO Oodrive, ont en effet mis en place une pratique originale chez Oodrive : les Privacy Champions.
RGPD & B2B par Adeline Lemercier
Conseil
il y a 2 ans
RGPD en B2B : entre mythes et réalités
Adeline Lemercier, responsable marketing chez Plezi nous éclaire sur le RGPD en B2B : une mise au point sur quelques idées reçues, notamment sur le Privacy Shield américain s'impose. Bonus : la checklist pour être conforme en infographie !