Faire son registre rgpd, c’est un passage obligé.
Tous ceux qui sont passés par la mise en conformité rgpd d’une entreprise ont dû s’occuper de leur registre de traitement de données.
Comme la création de son registre mobilise de l’énergie nous allons voir comment faire un registre rgpd et quels sont les erreurs à ne pas commettre.
Suivez les conseils dans cet article : vous économiserez du temps et ferez un registre plus pertinent.
Introduction : Pourquoi créer un registre ?
C’est la pièce maitresse de votre conformité rgpd
Le registre des activités de traitement permet de lister et décrire l’ensemble des traitements de données personnelles dont votre organisme est responsable.
C’est vraiment le document fondateur de votre mise en place du RGPD. Et c’est probablement le premier document qui serait consulté en cas de contrôle, c’est dire son importance. Le registre est communicable à la CNIL à sa demande.
C’est une obligation légale
Les responsables de traitement doivent tenir un registre. Ils doivent être capables de justifier leurs actions concernant les traitements mis en place grâce au registre RGPD avant chaque début d’activité ou modification majeure.
Que doit contenir un registre RGPD ?
Un bon registre RGPD doit permettre de comprendre la stratégie de gestion des données personnelles de votre entreprise.
Les registres RGPD les mieux conçus trient vos catégories de données personnelles en fonction de vos activités, ils justifient des choix que vous avez faits sur la nature des données et les critères vous permettant de les traiter.
Un registre retrace les différents acteurs qui gravitent autour de vous (logiciels, sous-traitants, partenaires, filiales, etc.)
Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
b) les finalités du traitement;
c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
Article 30 – 1 du RGPD
Les 5 erreurs à ne pas commettre quand on fait son registre RGPD
1) Faire un registre rgpd trop théorique
Le registre doit représenter la manière dont vous exercez le métier. Si votre registre ne représente pas la réalité de votre exploitation il est inutile. C’est pour cela qu’il faut rédiger son registre en regardant précisément comment l’entreprise travaille. Vous devriez vous appuyer sur des exemples de registre rgpd rempli pour comprendre ce que vous devez faire.
2) Oublier des traitements
Le registre des traitements de données personnelles doit être le plus complet possible. Plus il représente l’ensemble de votre activité mieux c’est.
Assez souvent les sociétés oublient certains traitements annexes comme les enquêtes de satisfaction, les recrutements, le formulaire de contact sur le site, etc.
En revanche, si vous pouvez faire une cartographie de vos traitements essayez d’en tirer un cheminement logique pour éviter les traitements en doublons ou vous perdre dans des activités anecdotiques. Faire son registre permet aussi de prendre des décisions de simplification.
3) Ne pas fonder son traitement uniquement sur le consentement
J’ai pu observer beaucoup de traitement qui sont fondés uniquement sur le consentement. Vous devriez mobiliser toute la palette des critères de licéité possible dans le registre.
4) Avoir un registre isolé de la documentation de l’entreprise
Lorsque vous aurez fait votre registre rgpd, le mieux est de le relier à la documentation de la société. Ce peut être en le mettant en lien avec vos procédures internes ou votre intranet.
Si vous êtes certifié ISO 9001, vous pouvez intégrer le registre à la documentation qualité pour permettre d’alimenter l’analyse des risques et les revues de processus.
Le plus important est que votre registre puisse être accessible aux personnes qui en ont besoin et qu’il soit connu dans l’entreprise.
5) Ne pas prévoir de le mettre à jour
Un registre des traitements obsolète est inutile. Il faut prévoir le rythme selon lequel quelqu’un doit le vérifier. Si vous ne faites pas de grands changements dans votre organisation, la mise à jour peut être très minimale. C’est toujours utile de garder les traces de révision ou d’actualisation du document comme preuve.
En revanche, en cas de profond changement comme l’acquisition d’une filiale, la création de nouveaux métiers, un changement de logiciel structurel, il convient de faire une analyse et une mise à jour.
Est-il possible de faire faire son registre à quelqu’un ?
Oui. Si vous n’avez pas la compétence ou les ressources pour faire votre registre rgpd vous pouvez travailler avec un consultant rgpd qui sera à même de le rédiger.
Les points forts :
- En missionnant un consultant rgpd, cela vous permet de vous libérer de ce poids.
- Un spécialiste sera généralement plus rapide et plus efficace. Il évitera de tomber dans les pièges.
- Il sera capable d’enrichir le registre de son expérience dans d’autres organismes similaires.
Les points faibles :
- Il faut absolument que votre conseil rgpd prenne le temps de s’intéresser à votre métier et à vos pratiques. Il doit interviewer les personnes clés de votre entreprise pour auditer le métier.
Modèle de registre
Vous pouvez trouver ci-dessous un modèle gratuit pour réaliser votre registre :
Conclusion sur la méthode pour mettre en place un registre rgpd
Le registre rgpd est un document obligatoire et qui justifie de votre stratégie RGPD.
C’est une preuve importante :
- Pour piloter la mise en conformité rgpd par l’identification des activités
- Pour avoir une vision d’ensemble des types de données personnelles dans l’entreprise
- Qui serait demandé en cas de contrôle de la CNIL ou d’audit (acquisition, levée de fonds, contrôle qualité d’un partenaire, etc.)
- C’est l’endroit pour garder une trace des prises de décisions et des arbitrages que vous avez fait (analyse de risque, choix des critères de licéité du traitement…)
Nous avons vu qu’un registre rgpd était une représentation fidèle de la manière de travailler dans l’entreprise. Nous avons déterminé aussi qu’il était possible de rédiger en interne son registre rgpd ou de faire intervenir un consultant rgpd qui s’en chargera.
