Contact
Registre RGPD : pourquoi et comment le bâtir ?

À retenir :

  • Un registre RGPD recense toutes les activités de traitement des données ;
  • Il est obligatoire pour de nombreuses structures qui gèrent des données personnelles ;
  • Son contenu doit être mis à jour dès qu’un traitement évolue ;
  • C’est un outil de pilotage pour sécuriser vos données et améliorer vos process internes.

Vous souhaitez instaurer un registre RGPD dans votre entreprise ? Ce document vous permet de centraliser tous vos process de traitements de données personnelles afin de piloter votre stratégie et de rester conforme à vos obligations en matière de protection des données. Reveals vous explique comment créer et tenir un registre des activités de traitement. 

Qu’est-ce qu’un registre des activités de traitement ?

Encadré par l’article 30 du Règlement général sur la protection des données, le registre des activités de traitements (aussi nommé registre RGPD) est un document interne qui centralise l’ensemble de vos procédures par lequel votre entreprise collecte, utilise et gère des données personnelles. Il vous offre une vision globale de vos traitements, vous permet d’identifier les pratiques à faire évoluer et à vérifier que chaque procédure instaurée est réellement utile et pertinente pour votre structure. 

Il s’agit d’un document clé du respect du principe d’accountability. Il recense toutes les mesures mises en place par votre société pour se conformer aux obligations du RGPD. Il constitue l’un des premiers documents demandés lors des contrôles de la CNIL (Commission nationale de l’informatique et des données). Il vous permet de démontrer que vous respectez la réglementation européenne en matière de protection des données personnelles. 

Notez qu’il existe deux types de registre : 

  • Un registre pour les responsables de traitement ;
  • Un registre pour les sous-traitants

Si votre entreprise est à la fois responsable de la collecte d’informations et sous-traitante, alors il sera nécessaire de tenir deux dossiers distincts. Cette situation intervient notamment chez les cabinets RH et les prestataires informatiques. 

Bon à savoir : vous trouverez un exemple de registre de traitement RGPD simplifié téléchargeable sur le site de la CNIL.

Qui est obligé de tenir un registre RGPD ?

En principe, tous les organismes qui collectent des données personnelles (celles de leurs salariés, de leurs clients, de leurs fournisseurs, etc.) sont obligés de tenir ce registre des activités. Néanmoins, la réglementation propose des dérogations pour les structures de moins de 250 salariés

Ces dernières ont réellement l’obligation de constituer ce répertoire lorsqu’elles traitent des données qui ont un caractère sensible (santé, biométrie, etc.) et peuvent présenter un risque pour la liberté personnelle. En cas de doute sur la nature des données que vous gérez en interne, la CNIL vous recommande d’intégrer cette information dans votre registre. De fait, si vous travaillez dans un établissement financier, il reste nécessaire de créer et de mettre régulièrement à jour ce document si vous avez une petite structure indépendante (comme un cabinet de courtage). 

Quel est l’intérêt de ce document pour les entreprises ?

Respecter la réglementation RGPD

Depuis 2018, toutes les entreprises collectant des données de résidents européens ont l’obligation de se conformer au règlement général sur la protection des données. Lorsque vous collectez et traitez des informations à caractère personnel (comme le nom et les coordonnées de vos clients), vous devez mettre en place toutes les mesures nécessaires pour les protéger

Le registre d’activité de traitement formalise cette démarche. En documentant exactement pourquoi et de quelle façon est traité chaque type d’information que vous utilisez, vous disposez d’un élément de démonstration solide de votre conformité.

Identifier les données les plus à risques

Les données sensibles nécessitent l’instauration de techniques de protection avancées. Vous pourrez ainsi ajuster vos actions selon leur degré de sensibilité

Il est important de vous assurer que seules les personnes habilitées y ont accès. Vous pouvez aussi mettre en place des actions de protection avancée, comme le chiffrement de vos données ou le renforcement de la sécurité de vos serveurs et de votre réseau informatique.

Vérifiez que vos données sont réellement utiles pour votre entreprise

Votre entreprise est tenue de respecter le principe de minimisation. Cela signifie que vous ne devez traiter que les informations qui ont un intérêt à l’accomplissement d’un objectif  légitime, explicite et déterminé. Si certaines données ne sont pas justifiées, vous devez les supprimer.

Reveals vous accompagne dans le renforcement de votre gouvernance des données. Nous vous aidons à structurer les pôles de responsabilité et à mettre en place des systèmes de gestion adaptés. Découvrez notre offre de conseil en data gouvernance pour structurer et piloter vos données.

Comment constituer un registre de traitement ?

Vous êtes libre de créer un registre au format électronique ou papier. Toutefois, celui-ci doit intégrer certaines informations essentielles. 

Le registre du responsable de traitement

Votre registre recense l’ensemble de vos traitements sous la forme de fiches individuelles.

Chacune doit détailler les éléments suivants : 

  • Le nom du traitement ;
  • Le nom et les coordonnées du responsable de ce traitement, ainsi que celui du délégué à la prospection des données (DPO) de l’entreprise, le cas échéant ;
  • Les finalités du traitement (en précisant l’objectif principal et les objectifs secondaires) ;
  • Les catégories des données personnelles concernées par le traitement ;
  • Les catégories de personnes concernées (à qui appartiennent ces informations) ;
  • Les destinataires des données (dont les sous-traitants) ;
  • La liste des mesures de sécurité mises en place pour protéger ces données ;
  • Les éventuels transferts mis en place ;
  • Les durées de conservation prévues.

Pour donner un exemple : un établissement bancaire met en place un traitement relatif aux comptes de ses clients. La fiche dédiée à cette activité indiquera que la finalité est de pouvoir ouvrir, gérer et clôturer des comptes bancaires. Les clients peuvent être des particuliers ou des sociétés. La banque traite des données sensibles, telles que l’identité et les coordonnées des clients, une copie de leur pièce d’identité, leur situation professionnelle, leur situation financière. Les destinataires sont à la fois les services internes de la banque et des organismes externes (comme la Banque de France ou des prestataires de paiement). La durée de conservation des données est de 5 ans après la clôture du compte et 10 ans pour les pièces comptables. Des mesures de sécurité spécifiques peuvent être mises en place, comme le chiffrement des données ou la restriction d’accès aux seules personnes habilitées. 

Le registre du sous-traitant

Si vous gérez aussi les données de vos clients, vous devez tenir un registre des catégories d’activités de traitement. 

Chacune doit contenir les éléments suivants :

  • Le nom et les coordonnées de votre organisme ;
  • Le nom et les coordonnées de votre client, de son responsable de traitement, voire de son représentant ;
  • Le nom et les coordonnées de vos sous-traitants (le cas échéant) ;
  • Les catégories de traitement concernées ;
  • Les mesures de sécurité mises en place ;
  • Les éventuels transferts de données vers un pays tiers ou une organisation internationale, et les garanties associées.

Vous pouvez compléter ce registre avec toute information que vous jugez utile.

Comment tenir et mettre à jour son registre RGPD ?

Ce registre est tenu par le responsable de traitement, un sous-traitant ou le délégué à la protection des données (DPD), si l’entreprise en a un. 

Lors de son élaboration, il convient de lister toutes les activités nécessitant l’utilisation de données personnelles. Dans une entreprise, il peut s’agir du recrutement, de la gestion RH, de la gestion des fiches de paie, de la gestion du portefeuille des clients ou encore de la formation des employés. 

  1. Pour commencer votre premier recensement, contactez l’ensemble des responsables qui utilisent des données personnelles au sein de votre structure. Pensez aussi à analyser votre site Internet pour identifier toutes les informations collectées via vos formulaires. 
  2. Ensuite, listez toutes les activités qui utilisent des informations personnelles. Vous pourrez ainsi compléter une fiche par activité et obtenir une vision claire de tous les traitements opérés au sein de votre structure.
  3. Enfin, évaluez les risques liés à la sécurité de vos données. afin de mettre en place des actions nécessaires pour rester conforme au RGPD. 

Et n’oubliez pas de mettre à jour ce dossier dès qu’un processus évolue. Toute modification doit être enregistrée pour garantir l’exactitude votre document. 

À qui communiquer ce registre des données personnelles ?

C’est un registre interne à l’entreprise. Il peut être cependant demandé par la CNIL dans le cadre d’un contrôle de conformité RGPD. À cette occasion, l’organisme vérifie que les procédures instaurées permettent de garantir la sécurité des données personnelles lors de leur traitement.

L’instauration d’un registre RGPD est une étape essentielle pour toute entreprise qui gère des données personnelles. Au-delà de l’obligation réglementaire, ce document vous permet d’avoir une vision claire de vos pratiques, d’identifier les axes d’amélioration et de renforcer la sécurité de vos traitements. Reveals vous guide dans la mise en place d’une politique de gouvernance adaptée à votre entreprise afin de sécuriser vos données et de les exploiter pleinement. Contactez-nous pour déployer un dispositif de contrôle et de pilotage adapté à votre structure. 

FAQ

Quels sont les registres obligatoires du RGPD ?

Il existe deux types de registres de traitement des données : le registre de l’organisme qui récolte les informations et celui des sous-traitants. Lorsqu’une structure assure les deux rôles, elle doit créer deux registres distincts. 

À quelle fréquence faut-il mettre à jour le registre des activités de traitement ?

Il faut le mettre à jour dès qu’une procédure de traitement des données évolue.

Quelle sanction en cas de non-tenue du registre de traitement ?

Si un organisme qui traite des données personnelles ne tient pas de registre RGPD conformément à la réglementation européenne, il s’expose à une amende allant jusqu’à  10.000.000 euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial pour une société.