ALF - African Legal Factory services juridiques pour startup en Afrique > Articles > Données Personnelles > Comment réaliser ses registres des activites de traitement au regard du RGPD ?

Comment réaliser ses registres des activites de traitement au regard du RGPD ?

6 septembre 2021
Publié par : ALF
Catégorie : Données Personnelles

Aucun commentaire

STARTUPS, APPRENEZ À REALISER VOS REGISTRES DES ACTIVITES DE TRAITEMENT AU REGARD DU RGPD !

Tenir un registre des activités de traitement est obligatoire si votre startup traite des données personnelles (en tant que responsable du traitement et sous-traitant) au regard de la réglementation européenne (RGPD). Quelles sont les obligations imposées par l’article 30 du RGPD ? Comment tenir ses registres des traitements de données personnelles ?

Si vous ne savez pas répondre à ces interrogations, cet article va vous apprendre comprendre très simplement comment réaliser vos registres des traitements.

1. QUELLES SONT LES OBLIGATIONS IMPOSEES PAR LE RGPD ?

Il n’est plus nécessaire de réaliser des formalités préalables (demandes d’autorisation ou de déclaration de traitements) auprès des autorités de contrôle de protection des données personnelles au sein de l’Union Européenne, contrairement à beaucoup de pays africains (ex : Maroc auprès de la CNDP).

En revanche, en application du principe de responsabilité (principe d’accountability), les startups doivent mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données à tout moment en cas de contrôle.

Une des obligations liées à ce principe d’accountability, est l’obligation de tenir un registre des activités de traitement et cela que la startup agisse en qualité de responsable du traitement ou en qualité de sous-traitant.

2. QUELLES SONT LES ETAPES PREALABLES A RESPECTER POUR L’ELABORATION DE CE REGISTRE DES ACTIVITES DE TRAITEMENT ?

Les étapes préalables indispensables qu’il convient de respecter pour l’élaboration des registres des traitements sont les suivantes :

1. Identifier les traitements de données à caractère personnel effectués par la startup. Cette cartographie des traitements s’effectue via un audit et un recensement des différentes finalités de traitements de données personnelles réalisés dans la startup. Pour réaliser cette cartographie, il convient de :

Sensibiliser les collaborateurs de la startup sur le sujet de la protection des données à caractère personnel ;
Intégrer l’ensemble des projets en cours à la cartographie des traitements ;
Distinguer les métiers/ départements concernés par le traitement de données à caractère personnel ;
Poser les bonnes questions pour détecter l’ensemble des traitements réalisés par la startup. A ce titre, il convient de cibler les informations demandées aux collaborateurs en fonction des éléments requis pour établir vos registres des traitements.

2. Identifier la qualification au sens du RGPD de la startup pour chaque finalité de traitement pour savoir si elle doit être qualité de « Responsable du traitement » (data controller) ou de sous-traitant (data processor) ou encore de responsable conjoint du traitement (joint controllers).

En application de l’article 4 du RGPD :

Le responsable de traitement est « celui qui détermine les finalités et les moyens d’un traitement ».
Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. »

En effet, en fonction de sa qualification au sens du RGPD, si la startup agit en tant que responsable du traitement et sous-traitant, elle devra tenir deux registres distincts des activités de traitement.

3. QUE CONTIENT VOTRE REGISTRE DES TRAITEMENTS ?

En fonction de votre qualification, votre registre des traitements doit contenir les informations suivantes :

	Responsable de traitement	Sous-traitant
Informations	Nom et coordonnées du responsable de traitement ainsi que le cas échéant du responsable conjoint, du représentant du responsable de traitement et de son DPO	Nom et coordonnées du ou des sous-traitants et de chaque responsable de traitement pour lequel le sous-traitant agit et le cas échéant de son DPO et de ses représentants
	Finalités du traitement<	Catégories de traitements effectués pour le compte de chaque responsable de traitement
	Catégories de personnes concernées<	Transferts de données hors de l’EEE – identifier les pays tiers concernés
	Catégories de données personnelles	Description générale des mesures de sécurité techniques et organisationnelles « dans la mesure du possible »
	Catégories de destinataires, y compris ceux hors de l’EEE
	Transferts de données hors de l’EEE – identifier les pays tiers concernés
	Durée prévue pour l’effacement des données
	Description générale des mesures de sécurité techniques et organisationnelles « dans la mesure du possible »

4. NOS CONSEILS POUR ELABORER VOS REGISTRES DES TRAITEMENTS
Nous vous recommandons de :

N’indiquer que les informations strictement requises par le RGPD.
Utiliser un format adapté à la startup (format Excel, Word ou logiciel propre à la startup).
Utiliser un format permettant une exportation ou impression rapide en cas de demande de l’autorité de contrôle.
Limiter l’accès aux registres aux seules personnes ayant besoin d’y avoir accès dans le cadre de leurs fonctions.
Tenir à jour les registres en cas de modification des traitements de données personnelles ou a minima tous les 6 mois

En pratique, vos registres doivent refléter ce qui est réellement et effectivement mis en œuvre dans votre start-up.

4. POURQUOI TENIR DES REGISTRES DES ACTIVITÉS DE TRAITEMENT ?

Intérêt pratique : le registre des traitements est un outil de pilotage qui vous permet d’avoir une vision globale sur l’ensemble des traitements de données à caractère personnel réalisés dans la startup. Il vous permet de respecter le principe d’accountability en démontrant votre conformité au RGPD.

Cela vous permet également de répondre à d’autres obligations du RGPD, par exemple :

identifier d’éventuels traitements « sensibles » qui nécessitent de réaliser une analyse d’impact ;
s’assurer que les durées de conservation sont proportionnelles aux finalités de traitement des données personnelles ;
mettre en place des mesures de sécurité adaptées aux traitements et catégories de données personnelles.

Éviter des sanctions financières pouvant aller jusqu’à 2% du chiffre d’affaires mondial annuel de la startup ou 10 millions d’euros d’amende (le montant le plus élevé étant retenu).

Plus d'articles →

Références :

Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

Lignes directrices, recommandations et bonnes pratiques publiées par le Comité Européen de la Protection des Données (CEPD) ;

Lignes directrices du Groupe de travail de l’article 29 (G29) approuvées par le CEPD ;

Lignes directrices des autorités européennes de protection des données (ex : en France la Commission Nationale de l’Informatique et des libertés (CNIL), au Royaume-Uni l’Information Commissioner’s Office (ICO), en Espagne l’Agencia de protection de Datos (APD), etc.).

Formulaire : je souhaite me faire accompagner dans le cadre de ma mise en conformité relative à la protection des données personnelles

En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations. Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès. Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité. [Politique de confidentialité]

Cookie	Durée	Description
__stripe_mid	1 an	Stripe installe ce cookie pour traiter les paiements.
__stripe_sid	30 minutes	Stripe installe ce cookie pour traiter les paiements.
_abck	1 an	Ce cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
ak_bmsc	2 heures	Ce cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
bm_sz	4 heures	Ce cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Analytique " .
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-indispensable	1 an	Le cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Nécessaire " .
cookielawinfo-checkbox-others	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autres ".
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.
redux_blast	3 jours	Ce cookie est nécessaire pour le fonctionnement de certains éléments de thèmes WordPress qui font que le site web apparaît de la manière la plus optimale pour l'appareil du visiteur.

Cookie	Durée	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_5BN1MYEN2Y	2 ans	Ce cookie est installé par Google Analytics.
_gat_gtag_UA_157972103_1	1 minute	Défini par Google pour distinguer les utilisateurs.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
CONSENT	2 ans	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
last_pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
last_pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_first_visit	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_session_limit	1 heure	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_start_session	session	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.

Cookie	Durée	Description
_mcid	1 an	Il s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
bm_sv	session	Ce cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
cookies.js	session	Aucune description disponible.
m	2 ans	Ce cookie est installé par stripe.
mailchimp_landing_site	1 mois	Ce cookie est placé par MailChimp pour enregistrer la page que l'utilisateur a visitée pour la première fois.
pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
stm_lms_courses_watched	2 ans 5 mois 17 jours	Pas de description
wmc_current_currency	1 jour	enregistrer les paramètres de la devise.
wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c	2 jours	Contient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.