Comment tenir un registre des traitements conforme au RGPD ?
Le Règlement Général sur la Protection des Données (ou RGPD) entrera en vigueur le 25 mai 2018, et sera applicable à toutes les instances publiques et les entreprises privées effectuant des traitements de données personnelles à grande échelle.
Il instaure le principe d’accountability, chaque acteur doit être en mesure de démontrer, à tout moment, la conformité de ses activités de traitement à la réglementation applicable, d’où la nécessité de tenir un registre de traitements. C’est l‘une des principales obligations pour se mettre en conformité au RGPD.
SOMMAIRE :
Qui doit tenir un registre de traitements ?
Toutes les entreprises et administrations de plus de 250 employés sont concernées et dans l’obligation de tenir un registre de traitements selon le RGPD.
Cependant, les entreprises avec moins de 250 salariés sont également concernées, et doivent établir un registre de traitements lorsqu’elles se retrouvent dans l’un des cas suivants :
- Le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées (les traitements donnant lieu à une discrimination, révélant l’origine raciale, etc.) ;
- Le traitement est habituel (la gestion du personnel (RH), la gestion des fournisseurs ou à la gestion de la clientèle, qui ne se font pas occasionnellement.) ;
- Le traitement effectué porte sur des catégories particulières de données, appelées « données sensibles » (les données concernant l’origine raciale ou ethnique, la religion ou les convictions, les opinions politiques ou toute autre opinion, la santé, etc.) ;
- Le traitement effectué porte sur des données judiciaires.
La réglementation précise que l’absence de désignation d’un délégué à la protection des données (DPO) ne dispense pas l’organisme de tenir un registre des traitements.
Le nouveau règlement oblige également les sous-traitants des données personnelles de tenir un registre des traitements.
Que doit contenir un registre de traitements ?
Les informations figurant sur le registre de traitements devront permettre de répondre aux questions suivantes :
- Qui ? On vise les données personnelles du responsable de traitement,
- Pourquoi ? Cela revient à décrire la finalité du traitement des données,
- Quoi ? Il s’agit des différentes catégories des personnes concernées et des données traitées,
- Où ? Il s’agit de localiser les données ainsi que de préciser les destinataires de celles-ci,
- Jusqu’à quand ? Les délais prévus de destruction doivent être définis,
- Comment ? Il s’agit de décrire les mesures de sécurité techniques et organisationnelles à mettre en place pour protéger les données.
Comme il n y a pas de liste mentionnant les éléments exacts qui doivent figurer sur un registre de traitement, il est possible de rajouter d’autres éléments complémentaires tel que la nécessité d’une analyse d’impact, le relevé des violations de données etc.
Exemple de registre de traitements avec CaptainDPO
CaptainDPO édite une solution logicielle en SaaS pour aider les DPO à gérer la conformité de leur organisation vis-à-vis du RGPD.
- Une liste regroupant les différents traitements est présentée,
- Les responsables du traitement,
- La société,
- Le statut de chaque traitement (En cours – Conforme – Non conforme).
CaptainDPO va permettre de savoir là où on n’est pas conforme pour pouvoir mener les actions nécessaires en créant des tâches et des mises en conformité.
Les détails de chaque traitement sont également disponibles, ils regroupent :
- La description globale du traitement,
- Le responsale du traitement,
- La finalité du traitement,
- Les mesures de sécurité permettant de protéger les données,
- La catégorie des données traitées,
- La localisation des données ( En cas de transfert de données hors UE).
La gestion multi-registres est désormais intégrée sur CaptainDPO pour les DPO externes.
Les sanctions en cas de non-respect de cette obligation
Le non-respect de l’obligation de tenir un registre des traitements ou l’absence d’analyse d’impact préalable aux traitements des données personnelles peut entrainer de sévères sanctions.
Le montant de l’amende peut atteindre 2 % du chiffre d’affaires mondial de l’entreprise ou la somme de 10 millions d’euros. Le montant le plus élevé sera celui qui sera retenu.