Vous collectez les données personnelles de vos clients, de vos employés, de vos fournisseurs ? Selon les articles 5.2 et 30 du Règlement général de protection des données, vous devez remplir un registre des traitements RGPD. Comment ? Infolawyers vous guide pas à pas.
Pourquoi remplir un registre de traitement RGPD ?
Remplir ce document revêt une importance cruciale pour votre entreprise. Elle lui permet de respecter ses obligations légales tout en démontrant son engagement envers la protection des données. De cette manière, votre organisation évite les sanctions potentielles et notamment les amendes, lors d’audits ou d’enquêtes menés par la CNIL.
Mais ce n’est pas tout ! Le registre de traitement va bien au-delà de la simple conformité légale puisqu’il favorise aussi la transparence. Il offre ainsi aux personnes concernées par les traitements une vision claire et concise de la manière dont leurs données personnelles sont utilisées.
Par ailleurs, en documentant ses activités de traitement, votre entreprise se dote d’un outil puissant. Grâce à lui, elle peut en effet identifier et évaluer les risques liés à la protection des données. Cette compréhension approfondie facilite la mise en place de mesures appropriées.
De manière plus générale, ce registre permet aux dirigeants d’entreprise de prendre des décisions éclairées en matière de gestion des données personnelles. Cet outil renforce ainsi la confiance de vos clients et de vos partenaires.
Enfin, l’enregistrement des activités de traitement des données prépare votre organisation à faire face à d’éventuelles violations de données de manière efficace et rapide.
Le registre de traitement est-il obligatoire pour mon entreprise ?
La loi est claire : tous les responsables de traitements situés dans l’Union européenne (ou leur représentant) doivent remplir un registre de traitements RGPD. Il existe bien une exception, mais elle reste très limitée. En effet, les entreprises de moins de 250 employés échappent à cette obligation uniquement si elles remplissent les 3 conditions suivantes :
- Elles réalisent des traitements occasionnels ;
- Elles ne traitent aucune donnée sensible ;
- Le traitement ne fait courir aucun risque aux droits et aux libertés des personnes concernées.
Cette exception s’applique donc très rarement. Dans la quasi-totalité des cas, et surtout si vous avez une activité de vente en ligne, vous allez collecter des données de manière non occasionnelle (adresses mails, adresses de livraison)
Vous allez devoir remplir un registre RGPD… peu importe votre statut ou votre activité.
Bon à savoir : les sous-traitants qui collectent les données pour le compte du responsable du traitement doivent eux aussi tenir un registre RGPD.
Sous quelle forme tenir son registre des traitements RGPD ?
Le Règlement ne prévoit rien à ce sujet. Bien évidemment, votre document doit être écrit. Pour le reste, vous êtes libre de choisir le format qui vous convient.
En pratique, il est préférable d’opter pour un format électronique, Word ou Excel.
Vous pouvez utiliser le modèle général de registre des traitements RGPD mis à disposition par la CNIL sur son site internet. De son côté, Infolawyers vous propose un modèle de registre des traitements, spécial vente en ligne, conforme CNIL/RGPD. Cela vous intéresse ? Souscrivez à notre pack Documents Juridiques Obligatoires et démarrez, dès aujourd’hui, votre business sur des bases solides avec tous les documents indispensables pour votre conformité.
Quelles sont les étapes à suivre pour remplir son registre des traitements RGPD ?
Selon la taille de votre entreprise, remplir un registre RGPD peut être une tâche lourde et fastidieuse. Pour vous aider à rassembler toutes les informations requises, nous vous conseillons de suivre les étapes suivantes.
Étape 1 : faire la liste des activités de votre entreprise
Cette liste doit regrouper toutes les activités qui traitent des données à caractère personnel. Il n’est donc pas nécessaire de s’intéresser aux services qui collectent des données anonymes ou qui traitent des informations relatives à des administrations, par exemple. Parmi les activités concernées, on retrouve par exemple :
- La gestion des clients ;
- La gestion des fournisseurs ;
- La gestion des ressources humaines ;
- Etc.
Le modèle de registre RGPD de la CNIL propose une liste exhaustive de ces activités. Il ne vous reste donc qu’à sélectionner celles qui s’appliquent à votre entreprise.
Étape 2 : définir les traitements pour chaque activité
Par exemple, pour la gestion de vos clients et prospect, vous allez sans doute identifier les activités suivantes :
- Gestion des prospects ;
- Gestion des factures clients ;
- Gestion du service client ;
Pour vos fournisseurs et ressources humaines :
- Gestion du recrutement ;
- Gestion de la paie ;
- Gestion administrative du personnel ;
- Gestion du contentieux ;
- Etc.
Étape 3 : identifier vos sous-traitants
Dans certains cas, c’est assez simple. Par exemple, pour votre recrutement, vous faites appel à un cabinet extérieur. Il est donc votre sous-traitant. Même chose, si votre entreprise externalise la gestion de la paie ou de sa comptabilité.
Identifier les sous-traitants est un peu plus complexe, si vous utilisez un logiciel pour votre facturation, par exemple. Tout va dépendre de son mode d’installation et surtout si l’éditeur va avoir accès aux données. S’il est installé sur les serveurs de votre entreprise et que l’éditeur du logiciel n’a pas accès aux données, il n’y a pas de sous-traitance au sens du RGPD. En revanche, si le logiciel est hébergé dans un cloud, l’éditeur est bien sous-traitant.
Étape 4 : remplir le registre RGPD pour chaque traitement de données
Votre registre doit, tout d’abord, préciser votre nom et vos coordonnées ainsi que celui du délégué à la protection des données, si vous en possédez un. Si votre entreprise est établie en dehors de l’Union européenne, il est nécessaire de préciser le nom et les coordonnées de son représentant.
Ensuite, pour chaque traitement, vous devez élaborer une fiche contenant les informations suivantes :
- Les catégories de données personnelles concernées ;
- Les finalités du traitement ;
- Les catégories de personnes concernées ;
- Les catégories de destinataires et des sous-traitants ;
- Les transferts de données à caractère personnel vers un pays tiers : dans certains cas, il est nécessaire de préciser les mesures prises pour effectuer le transfert ;
- La durée de conservation des données ;
- Les mesures de sécurité mises en place.
Si les données sont traitées en collaboration avec un autre responsable du traitement, il est nécessaire d’ajouter son nom et ses coordonnées.
Exemple de fiche du registre des traitements RGPD
Activité : Ressources humaine
Traitement : Gestion des recrutements
- Responsable du traitement : société LAWLA, SAS, immatriculée au RCS de Paris n°849 700 372,
- Coordonnées : 69 Place du Docteur Félix Lobligeois à Paris 75017 / Tel. 01 xx xx xx xx
- Finalités des traitements :
- Finalité 1 : Réception et enregistrement des candidatures reçues par email
- Finalité 2 : Gestion des procédures de recrutement
- Finalité 3 : Réponse aux candidats
- Base juridique du traitement : article 6 (1) b du règlement européen 2016/679. Le traitement est nécessaire à l’exécution des mesures précontractuelles et à l’établissement de la relation contractuelle entre la société LAWLA et les candidats
- Catégories de personnes concernées : collaborateurs et anciens collaborateurs et stagiaires
- Catégories de données traitées : identité, informations figurant dans le curriculum vitae, courriers et emails transmis par les candidats, dates d’entretiens, demande salariale, suites données à la candidature, type et durée de contrat proposé
- Source des données : Personne concernée
- Caractère obligatoire ou facultatif du recueil des données et conséquences en cas de non-fourniture des données : la fourniture des données par la personne concernée, ou par un tiers, est obligatoire pour la gestion des finalités et pour remplir les obligations employeur prévues par le contrat et les textes en vigueur.
- Catégories de destinataires des données : personne concernée / service des ressources humaines
- Transferts de données vers un pays tiers à l’Union européenne ou vers une organisation internationale : NON
- Prise de décision automatisée : NON
Le registre des traitements de données est une image à l’instant T des traitements de données personnelles réalisés au sein de votre entreprise. N’oubliez pas de le mettre à jour régulièrement. C’est en effet un des documents essentiels à votre conformité RGPD.