Comment réaliser ses registres des activités de traitement au regard du RGPD ?
Le registre des activités de traitement est l’un des documents clés imposés par le RGPD. Comment le construire concrètement ? Quelles informations doivent y figurer ?
STARTUPS, APPRENEZ À CONSTRUIRE VOS REGISTRES DE TRAITEMENT RGPD !
Le registre des activités de traitement est l’un des documents clés imposés par le RGPD. Il permet de cartographier les traitements de données personnelles effectués par votre startup et de démontrer votre conformité.
Comment construire un registre ? Quelles informations doivent y figurer ? Quelle différence entre le registre du responsable de traitement et celui du sous-traitant ?
1. Qu’est-ce qu’un registre des activités de traitement ?
Le registre des activités de traitement est un document imposé par l’article 30 du RGPD permettant de recenser les traitements de données personnelles réalisés par une entreprise.
Le registre constitue un outil de pilotage essentiel de la conformité RGPD puisqu’il permet :
- d’identifier les traitements de données personnelles réalisés ;
- d’identifier les flux de données ;
- d’avoir une vision globale des risques ;
- de documenter la conformité de l’entreprise ;
- de faciliter les contrôles des autorités de protection des données.
Le registre doit être tenu par écrit, y compris sous format électronique.
Warning : même les startups de petite taille peuvent être tenues de tenir un registre lorsque les traitements réalisés ne sont pas occasionnels, comportent des risques pour les droits et libertés des personnes concernées ou portent sur des données sensibles.
2. Le registre du responsable de traitement
Lorsque votre startup agit en tant que responsable du traitement, le registre doit contenir notamment :
- le nom et les coordonnées du responsable du traitement ;
- les finalités du traitement ;
- une description des catégories de personnes concernées ;
- une description des catégories de données personnelles traitées ;
- les catégories de destinataires ;
- les transferts éventuels hors UE ;
- les délais prévus pour l’effacement des données ;
- une description générale des mesures de sécurité techniques et organisationnelles.
Chaque activité de traitement doit faire l’objet d’une fiche distincte.
Exemples de traitements :
- gestion des ressources humaines ;
- gestion des clients ;
- gestion de la prospection commerciale ;
- gestion des fournisseurs ;
- gestion des candidatures.
Besoin d’aide pour construire vos registres RGPD ?
Registre de traitement, cartographie des données, politique de confidentialité, contrats et conformité RGPD : faites-vous accompagner par African Legal Factory.
3. Le registre du sous-traitant
Lorsque votre startup agit en qualité de sous-traitant au sens du RGPD, elle doit également tenir un registre.
Ce registre doit contenir notamment :
- le nom et les coordonnées du ou des sous-traitants ;
- les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
- les transferts éventuels de données vers des pays tiers ;
- une description générale des mesures de sécurité techniques et organisationnelles.
Exemples : plateformes SaaS, hébergeurs, solutions de mailing, prestataires RH ou CRM.
Warning : le RGPD impose aujourd’hui des obligations directes aux sous-traitants, qui ne peuvent plus se contenter d’exécuter les instructions du responsable de traitement sans documenter leur conformité.
4. Quelle forme donner au registre ?
Le RGPD n’impose pas de format particulier.
Le registre peut être tenu :
- sous forme de tableau Excel ;
- sous forme de logiciel dédié ;
- dans un outil de gouvernance ou de conformité ;
- dans un document partagé accessible aux équipes concernées.
L’essentiel est qu’il soit :
- à jour ;
- accessible ;
- documenté ;
- compréhensible ;
- mis à disposition des autorités de contrôle en cas de demande.
5. Nos conseils
- Commencer par identifier tous les flux de données personnelles au sein de votre startup ;
- Interroger les équipes métiers pour cartographier les traitements réels ;
- Créer une fiche par traitement ;
- Mettre à jour régulièrement le registre ;
- Documenter les sous-traitants et transferts internationaux ;
- Associer le registre aux autres documents RGPD (politique de confidentialité, contrats, procédure de gestion des violations, etc.).
Le registre est souvent le point de départ concret d’une mise en conformité RGPD.
Références
- Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
- Lignes directrices du Comité Européen de la Protection des Données (CEPD) ;
- Guides pratiques et modèles publiés par les autorités européennes de protection des données.
Je souhaite me faire accompagner dans le cadre de ma mise en conformité relative à la protection des données personnelles
Complétez le formulaire afin d’être recontacté par l’équipe African Legal Factory concernant vos registres de traitement, votre conformité RGPD ou votre documentation juridique.
En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations.
Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès.
Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité.
