Rechercher
  • xdpo

Comment remplir le registre des traitements ?

Dernière mise à jour : 22 juil.


Selon les articles 5.2 du RGPD (principe d'auto-documentation) et 30 (Registre des activités de traitement) votre organisation doit tenir un registre des traitements de données personnelles qu'elle traite.


Le registre des traitements est une photo de vos activités de traitement des données personnelles.


Tous les guides (BpiFrance, CCI) vous conseillent de commencer par cette étape pour la mise en conformité mais sans donner de mode d'emploi. Alors comment remplir le registre des traitements ? Pas de panique, xDPO vous guide en quatre étapes :


1️⃣Lister les grands activités de votre organisation


Pour cela, parcourez le cycle de vie des données de vos salariés (gestion du recrutement, gestion de la paie, gestion administrative des ressources humaines, gestion des contentieux RH ...) puis de vos clients (communication, gestion des prospects, gestion des clients, gestion des services aux clients, gestion de la satisfaction client, logiciel spécifiques à votre métier...). Enfin, n'oubliez pas les activités liées à la gestion financière de votre organisation.


2️⃣Recenser les logiciels et prestataires qui vous permettent de gérer ces activités


Si vous avez listé vos activités, vous ne devriez pas avoir de mal à faire correspondre le logiciel ou le prestataire adéquat :

  • gestion des recrutement : cabinet x

  • gestion de la paie : Sage

  • gestion des mailing : Sendinblue

  • gestion des clients : Saleforce

  • gestion financière : Sage

  • Expert comptable : Cabinet XY


A ce stade, vous devez noter pour les logiciels leur mode d'installation : installés sur vos serveurs ("on premise") ou accessible en cloud. En effet, si le logiciel est installé sur vos serveurs, l'éditeur n'est pas sous-traitant de données personnelles au sens du RGPD (c'est votre organisation qui établit les moyens et finalités du traitement) alors que si le logiciel est en cloud, c'est un sous-traitant de données personnelles (vous lui confiez des données personnelles) et vous devrez lui demander des garanties écrites et des mesures mises en place pour protéger les données que vous lui avez confiées ou plutôt que vos clients ou salariés vous ont confiées !


3️⃣Pour chaque traitement, renseigner les règles d'or


Nous l'avons vu dans ce précédent article, les règles du RGPD sont assez claires pour garantir la conformité d'un traitement.

Il faut maintenant renseigner ces informations ou organiser en interne une décision pour les renseigner.

Les informations à renseigner sont :

  1. Quelles sont les mesures de sécurité que nous avons prises pour garantir la conformité, l’intégrité et la disponibilité des données ?

  2. Si nous sous-traitons le traitement des données (avec un logiciel en cloud par exemple), quels sont les engagements écrits que mon sous-traitant a pris ?

  3. Quelle est la base légale parmi les six suivantes : le consentement, le contrat, l’intérêt légitime, l’obligation légale, la mission d’intérêt public, la préservation des intérêts vitaux. « Lire l’article 6 du RGPD »

  4. Quelle est la finalité, l'objectif déterminé, explicite et légitime ? « Lire l’article 5 du RGPD »

  5. Quels sont les éléments d'information de la personne : avons-nous informé la personne des éléments ci-dessus, de la nature de leurs droits et de leurs possibilités de recours?

  6. les données traitées sont elle "à risques"? "sensibles"? Si oui, quelles sont ces données?

  7. Combien de temps nous engageons nous à détenir ces données? Sur le sujet de la durée de conservation vous pouvez consulter notre article

Par exemple, pour une activité "gestion des ressources humaines", le traitement "gestion de la paie", vous pouvez saisir les données suivantes :

  • Logiciel : Sage 100 paie et RH

  • Editeur : Sage

  • Mesures de sécurité : accès par login et mot de passe : les mesures de sécurité prises par l'éditeur sont consultables sur son site

  • Base légale : exécution d'un contrat (le contrat de travail en l'occurrence)

  • Finalité : éditer la feuille de paie du salarié

  • Information de la personne : article RGPD dans son contrat de travail

  • Données à risque : oui, le NIR

  • Durée de conservation : 5 ans après le départ du salarié

... et vous répétez cet exercice pour chaque traitement de données


4️⃣Mettre à jour


La conformité RGPD est une démarche d'amélioration continue et il est essentiel de cartographier vos traitements en rédigeant le registre des traitements dès que possible. Même si vous n'avez pas toutes les réponses

(par exemple, pour les durées de conservation, vous devez statuer sur une durée pour chaque traitement et ensuite, la mettre en application : il y aura forcément un délai entre la décision, la formalisation dans le registre et enfin la mise en œuvre opérationnelle )


Le registre des traitements est une photo à l'instant T de vos activités de traitement de données personnelles, il peut être incomplet à ce moment et doit être révisé régulièrement : nous vous conseillons de réviser le registre au minimum tous les ans.


En conclusion, le registre des traitements est un document central de votre conformité RGPD, il faut le rédiger mais en commençant par le recensement des logiciels et des prestataires.


xDPO a réalisé plus de 50 Registre des Traitements, nous avons des outils d'automatisation de rédaction : contactez nous pour vous aider à passer cette étape !


Mise à jour le 22/07/2022



16 vues0 commentaire

Posts récents

Voir tout