La création d’un registre des activités de traitement, une étape essentielle du processus de mise en conformité au RGPD

Le RGPD entrera en vigueur le 25 mai 2018. Il impose aux entreprises et organisations de nouvelles obligations pour protéger les données à caractère personnel de leurs clients et collaborateurs. Parmi celles-ci, l’obligation de tenir un registre des activités de traitement des données à caractère personnel. Cette obligation, qui est détaillée à l’article 30 du RGPD, est une étape importante dans votre processus de mise en conformité.

Quelles informations doivent être reprises dans le registre ?

Les responsables de traitements (et leurs sous-traitants mais d’une manière plus allégée) devront tenir un registre reprenant les informations suivantes : le nom et les coordonnées du responsable du traitement ; les finalités du traitement ; une description des catégories de personnes concernées et des catégories de données à caractère personnel ; les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ; les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, les délais prévus pour l’effacement des différentes catégories de données et une description générale des mesures de sécurité techniques et organisationnelles.

Sur demande, ce registre devra être mis à la disposition des autorités de contrôle.

Quels outils sont à votre disposition pour créer un tel registre ?

En Belgique, la Commission de Protection de la Vie Privée (CPVP) a publié en juin 2017 une recommandation afin de guider les responsables de traitement et les sous-traitants dans la préparation du registre d’ici au 25 mai 2018, date à partir de laquelle, il devra être en place et, en cas de contrôle, mis à la disposition de la CPVP.

En août 2017, la CPVP a également publié un modèle de registre. Ce document est un outil à la disposition des entreprises afin de les aider à identifier leurs flux de données. Il ne s’agit pas d’un document obligatoire. En effet, il est parfaitement possible pour les entreprises d’utiliser d’autres modèles de registres.

Une pratique fréquemment observée est de diviser le registre des traitements par département ou service et de trouver un responsable qui se chargera de le remplir. On observe également des approches Top Down ou Bottom Up.

Il faudra également déterminer le niveau de détail optimal pour choisir le nombre de traitements dans son entreprise. Alors que certaines entreprises n’auront que quelques traitements, d’autres pourront en avoir des milliers.

La création du registre est une étape importante dans la mise en conformité avec le RGPD qui sera fonction de la taille, de la maturité et du risque de l’entreprise. De plus, s’il est bien pensé dès sa création, le registre sera également très utile lors de la réalisation de Data Protection Impact Assesment (DPIA) ou en cas d’incident. Il est donc important de ne pas négliger cette étape et de se poser les bonnes questions dès sa création.

Vous souhaitez bénéficier de l’expérience d’un expert et mettre en perspective votre approche avec celles d’autres entreprises, participez à la formation intitulée « Méthodologie de mise en place du GDPR » prévue à Bruxelles le 27 mars 2018. Vous y apprendrez comment créer un registre des activités de traitement des données à caractère personnel.

 

 

 

Share This