Une carte de l'Europe et un cadenas

Remplir le registre des traitements RGPD : le Guide Complet

Nous contacter

Vous collectez les donnรฉes personnelles de vos clients, de vos employรฉs, de vos fournisseurs ? Selon les articles 5.2 et 30 du Rรจglement gรฉnรฉral de protection des donnรฉes, vous devez remplir un registre des traitements RGPD. Comment ? Infolawyers vous guide pas ร  pas. 

Pourquoi remplir un registre de traitement RGPD ? 

Remplir ce document revรชt une importance cruciale pour votre entreprise. Elle lui permet de respecter ses obligations lรฉgales tout en dรฉmontrant son engagement envers la protection des donnรฉes. De cette maniรจre, votre organisation รฉvite les sanctions potentielles et notamment les amendes, lors d’audits ou d’enquรชtes menรฉs par la CNIL

Mais ce n’est pas tout ! Le registre de traitement va bien au-delร  de la simple conformitรฉ lรฉgale puisquโ€™il favorise aussi la transparence. Il offre ainsi aux personnes concernรฉes par les traitements une vision claire et concise de la maniรจre dont leurs donnรฉes personnelles sont utilisรฉes.

Par ailleurs, en documentant ses activitรฉs de traitement, votre entreprise se dote d’un outil puissant. Grรขce ร  lui, elle peut en effet identifier et รฉvaluer les risques liรฉs ร  la protection des donnรฉes. Cette comprรฉhension approfondie facilite la mise en place de mesures appropriรฉes.

De maniรจre plus gรฉnรฉrale, ce registre permet aux dirigeants d’entreprise de prendre des dรฉcisions รฉclairรฉes en matiรจre de gestion des donnรฉes personnelles. Cet outil renforce ainsi la confiance de vos clients et de vos partenaires.

Enfin, l’enregistrement des activitรฉs de traitement des donnรฉes prรฉpare votre organisation ร  faire face ร  d’รฉventuelles violations de donnรฉes de maniรจre efficace et rapide. 

Le registre de traitement est-il obligatoire pour mon entreprise ?

La loi est claire : tous les responsables de traitements situรฉs dans lโ€™Union europรฉenne (ou leur reprรฉsentant) doivent remplir un registre de traitements RGPD. Il existe bien une exception, mais elle reste trรจs limitรฉe. En effet, les entreprises de moins de 250 employรฉs รฉchappent ร  cette obligation uniquement si elles remplissent les 3 conditions suivantes :

  • Elles rรฉalisent des traitements occasionnels ; 
  • Elles ne traitent aucune donnรฉe sensible ; 
  • Le traitement ne fait courir aucun risque aux droits et aux libertรฉs des personnes concernรฉes.  

Cette exception sโ€™applique donc trรจs rarement. Dans la quasi-totalitรฉ des cas, et surtout si vous avez une activitรฉ de vente en ligne, vous allez collecter des donnรฉes de maniรจre non occasionnelle (adresses mails, adresses de livraison) 

Vous allez devoir remplir un registre RGPDโ€ฆ peu importe votre statut ou votre activitรฉ. 

Bon ร  savoir : les sous-traitants qui collectent les donnรฉes pour le compte du responsable du traitement doivent eux aussi tenir un registre RGPD.ย 

Sous quelle forme tenir son registre des traitements RGPD ?

Le Rรจglement ne prรฉvoit rien ร  ce sujet. Bien รฉvidemment, votre document doit รชtre รฉcrit. Pour le reste, vous รชtes libre de choisir le format qui vous convient. 

En pratique, il est prรฉfรฉrable dโ€™opter pour un format รฉlectronique, Word ou Excel. 

Vous pouvez utiliser le modรจle gรฉnรฉral de registre des traitements RGPD mis ร  disposition par la CNIL sur son site internet. De son cรดtรฉ, Infolawyers vous propose un modรจle de registre des traitements, spรฉcial vente en ligne, conforme CNIL/RGPD. Cela vous intรฉresse ? Souscrivez ร  notre pack Documents Juridiques Obligatoires et dรฉmarrez, dรจs aujourdโ€™hui, votre business sur des bases solides avec tous les documents indispensables pour votre conformitรฉ.  

Quelles sont les รฉtapes ร  suivre pour remplir son registre des traitements RGPD ? 

Selon la taille de votre entreprise, remplir un registre RGPD peut รชtre une tรขche lourde et fastidieuse. Pour vous aider ร  rassembler toutes les informations requises, nous vous conseillons de suivre les รฉtapes suivantes. 

ร‰tape 1 : faire la liste des activitรฉs de votre entreprise 

Cette liste doit regrouper toutes les activitรฉs qui traitent des donnรฉes ร  caractรจre personnel. Il nโ€™est donc pas nรฉcessaire de sโ€™intรฉresser aux services qui collectent des donnรฉes anonymes ou qui traitent des informations relatives ร  des administrations, par exemple. Parmi les activitรฉs concernรฉes, on retrouve par exemple : 

  • La gestion des clients ; 
  • La gestion des fournisseurs ; 
  • La gestion des ressources humaines ; 
  • Etc. 

Le modรจle de registre RGPD de la CNIL propose une liste exhaustive de ces activitรฉs. Il ne vous reste donc quโ€™ร  sรฉlectionner celles qui sโ€™appliquent ร  votre entreprise. 

ร‰tape 2 : dรฉfinir les traitements pour chaque activitรฉ 

Par exemple, pour la gestion de vos clients et prospect, vous allez sans doute identifier les activitรฉs suivantes : 

  • Gestion des prospects ; 
  • Gestion des factures clients ; 
  • Gestion du service client ; 

Pour vos fournisseurs et ressources humaines : 

  • Gestion du recrutement ; 
  • Gestion de la paie ; 
  • Gestion administrative du personnel ; 
  • Gestion du contentieux ; 
  • Etc. 

ร‰tape 3 : identifier vos sous-traitants 

Dans certains cas, cโ€™est assez simple. Par exemple, pour votre recrutement, vous faites appel ร  un cabinet extรฉrieur. Il est donc votre sous-traitant. Mรชme chose, si votre entreprise externalise la gestion de la paie ou de sa comptabilitรฉ.  

Identifier les sous-traitants est un peu plus complexe, si vous utilisez un logiciel pour votre facturation, par exemple. Tout va dรฉpendre de son mode d’installation et surtout si lโ€™รฉditeur va avoir accรจs aux donnรฉes. Sโ€™il est installรฉ sur les serveurs de votre entreprise et que lโ€™รฉditeur du logiciel nโ€™a pas accรจs aux donnรฉes, il nโ€™y a pas de sous-traitance au sens du RGPD. En revanche, si le logiciel est hรฉbergรฉ dans un cloud, lโ€™รฉditeur est bien sous-traitant. 

ร‰tape 4 : remplir le registre RGPD pour chaque traitement de donnรฉes 

Votre registre doit, tout dโ€™abord, prรฉciser votre nom et vos coordonnรฉes ainsi que celui du dรฉlรฉguรฉ ร  la protection des donnรฉes, si vous en possรฉdez un. Si votre entreprise est รฉtablie en dehors de lโ€™Union europรฉenne, il est nรฉcessaire de prรฉciser le nom et les coordonnรฉes de son reprรฉsentant. 

Ensuite, pour chaque traitement, vous devez รฉlaborer une fiche contenant les informations suivantes : 

  • Les catรฉgories de donnรฉes personnelles concernรฉes ; 
  • Les finalitรฉs du traitement ; 
  • Les catรฉgories de personnes concernรฉes ; 
  • Les catรฉgories de destinataires et des sous-traitants ; 
  • Les transferts de donnรฉes ร  caractรจre personnel vers un pays tiers : dans certains cas, il est nรฉcessaire de prรฉciser les mesures prises pour effectuer le transfert ; 
  • La durรฉe de conservation des donnรฉes ; 
  • Les mesures de sรฉcuritรฉ mises en place. 

Si les donnรฉes sont traitรฉes en collaboration avec un autre responsable du traitement, il est nรฉcessaire dโ€™ajouter son nom et ses coordonnรฉes. 

Exemple de fiche du registre des traitements RGPD 

Activitรฉ : Ressources humaine 

Traitement : Gestion des recrutements 

  • Responsable du traitement : sociรฉtรฉ LAWLA, SAS, immatriculรฉe au RCS de Paris nยฐ849 700 372,
  • Coordonnรฉes : 69 Place du Docteur Fรฉlix Lobligeois ร  Paris 75017 / Tel. 01 xx xx xx xx
  • Finalitรฉs des traitements : 
  • Finalitรฉ 1 : Rรฉception et enregistrement des candidatures reรงues par email
  • Finalitรฉ 2 : Gestion des procรฉdures de recrutement
  • Finalitรฉ 3 : Rรฉponse aux candidats 
  • Base juridique du traitement : article 6 (1) b du rรจglement europรฉen 2016/679. Le traitement est nรฉcessaire ร  lโ€™exรฉcution des mesures prรฉcontractuelles et ร  lโ€™รฉtablissement de la relation contractuelle entre la sociรฉtรฉ LAWLA et les candidats 
  • Catรฉgories de personnes concernรฉes : collaborateurs et anciens collaborateurs et stagiaires 
  • Catรฉgories de donnรฉes traitรฉes : identitรฉ, informations figurant dans le curriculum vitae, courriers et emails transmis par les candidats, dates dโ€™entretiens, demande salariale, suites donnรฉes ร  la candidature, type et durรฉe de contrat proposรฉ
  • Source des donnรฉes : Personne concernรฉe
  • Caractรจre obligatoire ou facultatif du recueil des donnรฉes et consรฉquences en cas de non-fourniture des donnรฉes : la fourniture des donnรฉes par la personne concernรฉe, ou par un tiers, est obligatoire pour la gestion des finalitรฉs et pour remplir les obligations employeur prรฉvues par le contrat et les textes en vigueur.
  • Catรฉgories de destinataires des donnรฉes : personne concernรฉe / service des ressources humaines
  • Transferts de donnรฉes vers un pays tiers ร  lโ€™Union europรฉenne ou vers une organisation internationale : NON
  • Prise de dรฉcision automatisรฉe : NON

Le registre des traitements de donnรฉes est une image ร  l’instant T des traitements de donnรฉes personnelles rรฉalisรฉs au sein de votre entreprise. Nโ€™oubliez pas de le mettre ร  jour rรฉguliรจrement. Cโ€™est en effet un des documents essentiels ร  votre conformitรฉ RGPD.

Derniers articles

Ordinateur d'un prestataire ร  l'รฉtranger au bord de la mer

Prestataire ร  l’รฉtranger ? Attention ร  la retenue ร  la source !

Faire appel ร  des prestataires ร  lโ€™รฉtranger est devenu un rรฉflexe pour bon nombre de web entrepreneurs. Dรฉveloppement web, crรฉationโ€ฆ

risques juridiques d'un web entrepreneurs qui รฉcrit

Les 5 risques juridiques des web entrepreneurs : tout savoir

Quels sont les plus gros risques juridiques pour les entrepreneurs du web ? Infolawyers vous dit tout !โ€ฆ
Protรฉger votre logo avec un contrat

Comment protรฉger votre logo pour รฉviter des pertes รฉconomiques importantes ?

Marc* est un web entrepreneur plein de ressources. En 2017, il se lance dans la vente en ligne avec saโ€ฆ

Toutes les actualitรฉs
ยฉ infolawyers 2023
retour en haut โ†‘