RGPD : Le registre de traitement des données personnelles

RGPD : Mise en place du registre de traitement des données personnelles.
Tous ceux qui sont concernés par le RGPD doivent mettre en place un registre de traitement des données personnelles. Mais en quoi cela consiste-t-il exactement ?

Qu’est-ce-qu’un registre de traitement des données personnelles ?

Un registre de traitement des données personnelles est un document qui indique vos procès et tout ce que vous avez mis en place pour répondre aux exigences du RGPD. Ce document est obligatoire et sera réclamé en cas de contrôle des services de l’Etat.

Que doit contenir le registre de traitement des données personnelles ?

Il est bien évident qu’il doit contenir le plus d’informations pertinentes possibles. Bien entendu, pour rédiger le vôtre, vous ne pourrez pas vous appuyer à 100% sur un modèle préconçu. Les éléments que je vais vous donner ne sont pas exhaustifs, chaque activité est unique et a ses spécificités, il va donc falloir vous creuser un peu les méninges. Voici quelques pistes pour vous aider :

Le responsable de traitement des données personnelles

Votre registre doit désigner un responsable de traitement des données personnelles. Il doit y être mentionné son identité et ses coordonnées.

Le sous-traitant du traitement des données personnelles

Le registre de traitement des données personnelles doit indiquer s’il y a un sous-traitant (identité, comment le joindre, quel est son rôle, …).

Le type de données personnelles collectés

Vous devrez précisément décrire quel type de données personnelles vous collectez. Le but de la collecte des données personnelles.

Le but et la finalité de la collecte de données personnelles

Le registre de traitement des données devra spécifier le but de cette collecte de données personnelles (pourquoi, quelle est la légitimité, …) et également qui aura accès à ces données (communication interne et externe).

La technique de collecte des données personnelles

Il est important d’indiquer dans le registre par quel moyen vous allez collecter les données personnelles de tierces personnes.

L’information et l’autorisation du propriétaire des données personnelles

Toutes les tierces personnes concernées par votre collecte et/ou traitement de données devront être informées et leurs consentements devront être obtenus. Tous les moyens utilisés pour répondre à cette exigence devront figurer dans le registre de traitement des données personnelles.

la durée de conservation des données personnelles

Pour chaque donnée personnelle collectée, vous devrez indiquer combien de temps vous la conserverez.

La destruction des données personnelles

Le registre de traitement des données personnelles doit mentionner de quelle façon vous allez détruire les données personnelles.

La sécurisation des données personnelles

Le RGPD exige que si vous détenez les données personnelles d’une tierce personne, vous soyer tenu responsable de la sécurisation des données personnelles que vous détenez. Vous devrez donc décrire tout ce que vous avez mis en place pour cela (antivirus, mot de passe fort, cryptage des données, …).

Le registre est-il communicable aux tiers ?

Le registre doit être mis à disposition de l’autorité de contrôle à sa demande.

Plus de précision sur le registre de traitement des données personnelles

CNIL : Responsable du traitement et sous-traitant

CNIL : Comment se préparer au règlement européen sur la protection des données ?

CNIL : Guide de la sécurité des données personnelles

Si vous avez aimé cet article, partagez-le!
  • 1
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *