Comprendre le RGPD: focus sur l'élaboration du registre des traitements
1 - Le registre des traitements: présentation et décryptage
L'élaboration (et la tenue) du registre des traitements mis en oeuvre dans l'entreprise est une des clés de voûte du RGPD. Vous devez être en capacité d'identifier avec précision les types de données à caractère personnel dont dispose votre organisation et savoir où celles-ci sont stockées et transférées.
L'élaboration du registre consiste à indiquer pour chaque traitement de données personnelles:
- La finalité du traitement (exemples: gestion des clients, paye, etc.);
- Les catégories de personnes concernées (exemples: salariés, clients, etc.);
- Les natures des données traitées (exemples: noms, prénoms, données de santé, etc.);
- Les catégories de destinataires amenés à utiliser les données (DRH, service informatique, prestataires, etc.);
- Les transferts en dehors de l'UE;
- Les durées de conservation;
- Les mesures de sécurité techniques et organisationnelles en place.
Il est essentiel d'établir la liste des traitements par finalité principale (l'objectif du traitement) et non par outil ou applicatif utilisé.
Pour les lecteurs les moins à l'aise avec le concept de finalité de traitement, voici ci-après quelques exemples de finalités communes à beaucoup d'organisations:
- RH: paye, recrutement, gestion des carrières et formation;
- Moyens généraux: badges d'accès, vidéosurveillance;
- Ventes et marketing: gestion des clients et prospects;
- Achats: questionnaires fournisseurs;
- SI: suivi des connexions internet, surveillance de l'utilisation des outils informatiques;
- Autres: dispositif d'alerte professionnelle (mis en place dans le cadre de Sapin II par exemple).
>> La suite en .
2 - Implications opérationnelles
Afin de construire le registre des traitements, il conviendra d'identifier puis de rencontrer les interlocuteurs-clés traitant les données personnelles au sein de votre organisation (direction des systèmes d'information, ressources humaines, services généraux, marketing, achats, etc.). Ces entretiens pourront être l'occasion de sensibiliser ces personnes-clés à propos des problématiques de protection et de sécurité des données personnelles.
On pourra très bien prendre comme modèle le registre proposé par la Cnil sur son site. Toutefois, rien n'interdit de survitaminer la trame du registre pour en faire un véritable outil de pilotage de votre trajectoire de mise en conformité.
Lire aussi : SIRH : pourquoi intégrer un logiciel de paie moderne
Ce registre, relevant alors davantage du tableau de bord, pourra inclure à titre d'exemple les notions et enjeux suivants:
- La base juridique du traitement, et l'explicitation attendue dans le cas où l'intérêt légitime a été retenu comme fondement du traitement;
- Le respect du principe de transparence pour le traitement répertorié (les personnes concernées ont-elles reçues les informations nécessaires? Via quel support?);
- Le sous-traitants en lien avec le traitement et le niveau de conformité de ces sous-traitants;
- Etc.
C'est l'ensemble des problématiques RGPD qui pourront être embarquées pour faire de ce registre un outil puissant et centralisant toute l'information utile.
L'auteur
Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).
À lire aussi:
Focus sur le principe de coresponsabilité entre le responsable de traitement et le sous-traitant
Focus sur le principe de limitation de la conservation des données
Focus sur le principe de transparence et l'information des personnes concernées
Protection des données personnelles: la Cnil publie un guide sous forme de 17 fiches pratiques
[Dossier] RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données
Sur le même thème
Voir tous les articles Réglementation