Si c’est la première fois que vous devez faire votre registre RGPD, c’est une bonne idée de chercher un exemple de registre RGPD rempli.
Cela va vous permettre de comprendre le résultat auquel vous devez aboutir (et de vous inspirer pour le contenu)
Attention cependant avec les modèles, car le registre doit représenter parfaitement votre activité (il ne faut pas recopier bêtement un exemple de registre RGPD rempli).
Créer son registre rgpd revient à se poser les bonnes questions
Tout d’abord, il faut comprendre la raison pour laquelle la législation vous demande de rédiger votre registre rgpd : C’est pour prendre du recul sur les données personnelles que vous utilisez.
Voici les questions utiles lorsque vous créez votre registre :
- Qui en est responsable ? (le plus souvent c’est l’entreprise qui est le responsable du traitement. Mais parfois elle est sous-traitant, ou co-responsable avec une autre société)
- A quoi vont servir les données ? (on parle dans le jargon rgpd de « finalités »)
- Avez-vous le droit de traiter cette information ? (c’est la base juridique du traitement)
- D’où provient la donnée ? Est-ce directement la personne qui vous l’a confiée ou vous l’avez obtenue ailleurs
- Qui est concerné par la donnée ?
- Quelles sont les catégories de données traitées ?
- Est-ce que cette information est destinée à d’autres destinataires ?
- Allez-vous être amené à transférer de la data en dehors de l’Union Européenne ?
- Combien de temps avez-vous prévu de conserver la donnée ? Et pourquoi ?
- Est-ce que vous protégez correctement l’information ? (soit par des garanties techniques, soit par la manière dont vous êtes organisé)
- Est-ce que les personnes concernées peuvent accéder, rectifier, effacer (…) la donnée ?
Vous l’aurez compris, la documentation RGPD est un moyen de se poser des questions structurantes. Le raisonnement est de pouvoir justifier à tout moment de votre méthodologie.
Comment s’inspirer d’un registre RGPD rempli pour faire le vôtre ?
Voici quelques astuces pour rédiger votre registre RGPD :
Il faut avoir une vision processus. Je vous conseille de lister l’ensemble des activités que vous menez dans l’entreprise. Par exemple :
- Traiter le formulaire de contact
- Faire remplir un formulaire aux visiteurs sur un salon
- Emettre un devis
- Relancer les prospects
- Etc.
L’enjeu est ensuite de rassembler ses activités isolées sous la forme d’un traitement commun comme par exemple « la gestion des prospects ».
Pour justifier d’un traitement il faut que les activités soient fondées sur une logique commune : mêmes catégories de personnes concernées, mêmes finalités, etc.
Si l’on prend l’exemple du registre propre de la CNIL, intéressons-nous au traitement « Ressources Humaines » :
On constatera qu’ils ont divisé leur traitement en 11 activités :
Activité 6 – Ressources humaines
Activité 6.1. – Recrutement des personnels
Activité 6.2 – Gestion administrative des personnels et membres de la Commission
Activité 6.3 – SIRH
Activité 6.4 – Gestion des personnels et des visiteurs de la CNIL sur le site Fontenoy-Ségur
Activité 6.5 – Santé, médecine de prévention et médecine d’embauche
Activité 6.6 – Gestion du dispositif de télétravail
Activité 6.7 – Compte personnel de formation
Activité 6.8 – Gestion de l’allocation d’aide au retour à l’emploi
Activité 6.9 – Gestion de l’action sociale
Activité 6.10 – Restauration collective
Activité 6.11 – Dispositif d’écoute et de soutien psychologique en direction des personnels
exemples de traitements de données dans le registre rempli de la cnil
Vous aurez des activités très différentes mais c’est une source d’inspiration.
Par exemple vous pourriez avoir un traitement pour gérer les horaires de vos salariés ou pour géolocaliser des véhicules.
Vous constatez notamment qu’ils ont séparé les activités qui concernent le recrutement et celles qui concernent la gestion des salariés. En effet, vous ne pouvez pas utiliser les mêmes conditions de licéité ou durées de conservation de ses données.
Le traitement de la CNIL sur le recrutement est lui-même décrit sous 4 finalités :
- Réception et enregistrement des candidatures adressées à la CNIL par courriel et courrier postal
- Gestion des procédures de recrutement en lien avec les hiérarchies des agents et stagiaires à recruter
- Réponses aux candidats à un emploi ou à un stage
- Gestion du contentieux
Avant de commencer à rédiger son registre rgpd
C’est plus facile de commencer son registre en ayant une vision d’ensemble des traitements de l’entreprise. Cela vous évitera des oublis et des redondances.
Pour être exhaustif sur vos traitements de données vous pouvez avoir plusieurs approches :
- Lister les activités en fonction des postes dans l’entreprise (quelles sont les tâches du collaborateur RH, du développeur, du commercial… etc.)
- Identifier tous les modèles de documents courants (formulaires, rapports, courriers, etc.)
- Lister tous les tableurs excel sur lesquels vous collaborez (liste de clients, suivi de projets…)
- Retracer le flux que suit un nouveau client ou un nouveau salarié à son arrivée
- …
C’est intéressant de tester successivement cette approche pour compléter votre connaissance de l’entreprise (surtout si vous ne connaissez pas tous les postes précisément).
C’est important de prévoir que le registre rgpd sera le fondement de votre politique de confidentialité. Vous allez voir, beaucoup d’informations sont communes.
Qu’est-ce qui fait un bon registre rgpd ?
Une erreur fréquente est de focaliser son attention sur les données en elles-mêmes alors qu’en réalité vous devez les centraliser sous forme de catégories de données.
Vous devez faire un travail d’exploration pour ne pas laisser de zones d’ombre. Il faut analyser de manière opérationnelle la façon de travailler.
Vous risquez de ne pas mentionner dans votre registre les traitements plus rares. Par exemple l’organisation d’un évènement (votre prochaine journée porte ouverte) ou les processus d’archivage.
Par extension, il faut s’intéresser à toutes les tâches additionnelles que vous ajoutez à votre métier traditionnel. Comme l’envoi d’une enquête de satisfaction ou l’organisation de concours. Ce sont souvent des tâches qui ne se reposent pas directement sur le contrat passé avec le client, la base juridique est donc différente.
Il faut se renseigner sur les législations applicables dans votre métier. Par exemple les cabinets comptables doivent respecter des normes anti-blanchiment. Pour cette raison, ils doivent conserver un certains nombres de données comme preuves. Si vous avez des images de vidéo-surveillance c’est le même principe, il y a une durée maximum de conservation.
Chaque métier à ses propres normes de conservation. Le plus important est d’archiver les documents la durée absolument nécessaire (pas plus, ni moins).
C’est parfois compliqué quand on a une entreprise avec plusieurs activités. Prenons l’exemple d’une startup qui est amené à faire pivoter régulièrement son activité quand elle est en train de chercher son business model. Il est fort probable qu’elle soit amenée à tester plusieurs outils ou à changer profondément la valeur qu’elle amène à ses clients. C’est pour cette raison qu’une démarche RGPD est un projet continu car il faut pouvoir se remettre en question en même temps que l’entité progresse.
Que doit contenir un registre rgpd ?
Vous avez une certaine latitude dans la rédaction de votre registre. L’article 30 met en avant 7 informations principales à faire figurer :
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
b) les finalités du traitement;
c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
l’article 30 du rgpd recense les informations nécessaires pour votre registre