Le registre des traitements RGPD est un document qui doit être tenu par toutes les organisations qui traitent des données personnelles de leurs clients, employés ou autres personnes. Ce registre doit contenir des informations sur les traitements de données personnelles, tels que les finalités, les catégories de données, les destinataires des données, les durées de conservation, etc.
Selon l'article 5.2 du RGPD (principe d'auto-documentation - une des 10 règles d'or du RGPD - voir notre article sur le sujet) et l'article 30 (Registre des activités de traitement) votre organisation doit tenir un registre des traitements de données personnelles qu'elle traite.
Le registre des traitements est une photographie de vos activités de traitement des données personnelles.
Dans cet article, nous n'allons pas vous fournir un exemple de registre RGPD complété mais nous allons vous expliquer les quatre grandes étapes pour remplir votre Registre des Traitements:
1️⃣Lister les grandes activités de votre organisation
Dans un premier temps, vous devez chercher exclusivement les activités dans votre organisation qui traitent des données personnelles. C'est-à-dire que vous ne tiendrez pas compte des activités qui traitent de données anonymes ou qui concernent des personnes morales (entreprises, administrations). En général vous allez chercher des activités qui traitent les données de vos clients (et par extension les administrés, usagers, adhérents, membres) ou celles de vos ressources humaines (les salariés, les agents, les stagiaires, les candidats).
Ensuite, faites une revue du cycle de vie des données que vous traitez. Par exemple pour vos salariés, ces activités concernent la gestion du recrutement, la gestion de la paie, la gestion administrative des ressources humaines, la gestion des contentieux RH ... Idem pour vos clients, ces activités concernent la communication, la gestion des prospects, la gestion des clients, la gestion des services aux clients, la gestion de la satisfaction client, logiciel spécifiques à votre métier...). Enfin, n'oubliez pas les activités liées à la gestion financière de votre organisation.
Vous avez listé les grands activités de votre organisation :
Gestion des ressources humaines
Recrutement, gestion administrative des salariés, établissement de la paie, formation, ...
Gestion des clients
Prospection, site internet, emailing, relances
Gestion des clients, facturation,
Bureautique, IT
Gestion des emailing,
Stockage, plateforme collaborative, visioconférence
Téléphonie
Photocopies
Gestion financière
Gestion financière, établissement de comptes
2️⃣Recensez les logiciels et sous-traitants qui vous permettent de gérer ces activités
Si vous avez listé vos activités, vous ne devriez pas avoir de mal à faire correspondre le logiciel ou le sous-traitant adéquat :
Gestion des ressources humaines
gestion des recrutement : cabinet x
gestion de la paie : Sage
Gestion des clients
gestion des mailing : Sendinblue
gestion des clients : Saleforce
Gestion financière
gestion financière : Sage
Expert comptable : Cabinet XY
A ce stade, vous devez noter pour les logiciels leur mode d'installation : installés sur vos serveurs ("on premise") ou accessible en cloud. En effet, si le logiciel est installé sur vos serveurs, l'éditeur n'est pas sous-traitant de données personnelles au sens du RGPD (c'est votre organisation qui établit les moyens et finalités du traitement) alors que si le logiciel est en cloud, c'est un sous-traitant de données personnelles (vous lui confiez des données personnelles) et vous devrez lui demander des garanties écrites et des mesures mises en place pour protéger les données que vous lui avez confiées ou plutôt que vos clients ou salariés vous ont confiées !
A ce sujet consultez notre article de blog pour évaluer la conformité RGPD de votre logiciel d'emailing.
3️⃣Décrire chaque traitement dans le détail
Nous l'avons vu dans ce précédent article, les règles du RGPD sont assez claires pour garantir la conformité d'un traitement.
Il faut maintenant renseigner ces informations ou organiser en interne une décision pour les renseigner.
Les informations à renseigner sont :
Quelles sont les mesures de sécurité que nous avons prises pour garantir la conformité, l’intégrité et la disponibilité des données ?
Si nous sous-traitons le traitement des données (avec un logiciel en cloud par exemple), quels sont les engagements écrits que mon sous-traitant a pris ?
Quelle est la base légale parmi les six suivantes : le consentement, le contrat, l’intérêt légitime, l’obligation légale, la mission d’intérêt public, la préservation des intérêts vitaux. « Lire l’article 6 du RGPD »
Quelle est la finalité, l'objectif déterminé, explicite et légitime ? « Lire l’article 5 du RGPD »
Quels sont les éléments d'information de la personne : avons-nous informé la personne des éléments ci-dessus, de la nature de leurs droits et de leurs possibilités de recours?
les données traitées sont elle "à risques"? "sensibles"? Si oui, quelles sont ces données?
Combien de temps nous engageons nous à détenir ces données? Sur le sujet de la durée de conservation vous pouvez consulter notre article
Par exemple, pour une activité "gestion des ressources humaines", le traitement "gestion de la paie", vous pouvez saisir les données suivantes :
Logiciel : Sage 100 paie et RH
Editeur : Sage
Mesures de sécurité : accès par login et mot de passe : les mesures de sécurité prises par l'éditeur sont consultables sur son site
Base légale : exécution d'un contrat (le contrat de travail en l'occurrence)
Finalité : éditer la feuille de paie du salarié
Information de la personne : article RGPD dans son contrat de travail
Données à risque : oui, le NIR
Durée de conservation : 5 ans après le départ du salarié
... et vous répétez cet exercice pour chaque traitement de données
4️⃣Mettre à jour régulièrement
La conformité RGPD est une démarche d'amélioration continue et il est essentiel de cartographier vos traitements en rédigeant le registre des traitements dès que possible. Même si vous n'avez pas toutes les réponses
Par exemple, pour les durées de conservation, vous devez statuer sur une durée pour chaque traitement et ensuite, la mettre en application : il y aura forcément un délai entre la décision, la formalisation dans le registre et enfin la mise en œuvre opérationnelle.
Le registre des traitements est une photo à l'instant T de vos activités de traitement de données personnelles, il peut être incomplet à ce moment et doit être révisé régulièrement : nous vous conseillons de réviser le registre au minimum tous les ans.
En conclusion, le registre des traitements est un document central de votre conformité RGPD, il est nécessaire d'en comprendre le sens pour qu'il soit remplit et suivi régulièrement par vos équipes.
xDPO a réalisé plus de 50 Registre des Traitements, nous avons des outils d'automatisation de rédaction : contactez-nous pour vous aider à passer cette étape !
Les internautes ont aussi consulté dans le Blog: