1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes:
|
(a) |
le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; |
|
(b) |
les finalités du traitement; |
|
(c) |
une description des catégories de personnes concernées et des catégories de données à caractère personnel; |
|
(d) |
les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; |
|
(e) |
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées; |
|
(f) |
dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données; |
|
(g) |
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1. |
2. Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:
|
(a) |
le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données; |
|
(b) |
les catégories de traitements effectués pour le compte de chaque responsable du traitement; |
|
(c) |
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées; |
|
(d) |
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1. |
3. Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.
4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.
5. Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
La conservation des enregistrements de vos activités de traitement a pour but de créer une vue d’ensemble de votre utilisation des données personnelles. Cet aperçu est la première étape pour s’assurer que vous traitez correctement les données personnelles.
Les registres illustreront qui a accès à vos données en interne et en externe. Ces informations vous permettront de prendre des mesures concrètes pour garantir que les données personnelles sont traitées correctement.
Il est facile de se méprendre sur le libellé de ces règles, car l’article 30, paragraphe 5, pourrait à première vue vous exempter de cette demande importante pour votre entreprise. La plupart des entreprises comptent moins de 250 employés, mais le fait d’avoir moins de 250 employés ne signifie pas que vous êtes dispensé de tenir un registre de vos activités de traitement.
Supposons que vous effectuez un traitement de données non occasionnel, par exemple la gestion des salaires ou le service à la clientèle. Dans ce cas, vous devez toujours conserver un registre de vos activités de traitement.
Il en va de même lorsque vous traitez des données personnelles sensibles, par exemple des données relatives à la santé, ou si votre traitement est susceptible d’entraîner un risque pour les droits et libertés des personnes, ce qui serait le cas lors de l’utilisation de systèmes de géolocalisation ou de vidéosurveillance.
Oui, il est possible de créer vous-même vos registres des activités de traitement. Attention, il faut avoir une certaine connaissance des règles pour faire l’exercice correctement. Faire cet exercice peut profiter à votre entreprise de plusieurs façons. Il vous donne une vue d’ensemble de tous les traitements de données personnelles. Cet aperçu est essentiel pour votre conformité au RGPD et les informations pertinentes pour créer une meilleure vue d’ensemble de vos processus d’affaires.
Il est recommandé de déléguer la conformité au RGPD à un employé clé de votre organisation. La délégation garantit que toutes les connaissances et la coordination sont centralisées auprès d’un seul employé.
Vous devez conserver une copie de vos enregistrements des activités de traitement par écrit, qui peuvent être électroniques.
Vous devez mettre à jour vos registres des activités de traitement chaque fois qu’un processus est modifié ou lorsque vous mettez en œuvre un nouveau système informatique.
Chaque fois que vous modifiez un processus commercial impliquant le traitement de données à caractère personnel, vous devez évaluer comment le traitement des données à caractère personnel est affecté. Si le traitement a changé, vous devez mettre à jour vos dossiers en conséquence.
Un processus peut nécessiter de nombreux systèmes différents, et un système informatique peut être utilisé dans de nombreux processus de données personnelles différents.
Le service clientèle peut utiliser plusieurs systèmes informatiques : courrier électronique, chat et CRM. Tous les processus de l’entreprise peuvent utiliser un seul système informatique, par exemple le courrier électronique.
Ce n’est pas obligatoire, mais ce serait pratique pour la conformité au RGPD.
Le fait de disposer d’un dossier distinct pour vos systèmes informatiques et les processus dans lesquels ils sont utilisés vous aidera à rester conforme dans la pratique. Selon le RGPD, vous devez démontrer que vous vous conformez au règlement conformément à l’article 5 (2). Un registre de tous vos systèmes informatiques et de la manière dont chacun d’eux est conforme vous aiderait à démontrer votre conformité avec, par exemple, les articles 25 et 32 sur la sécurité.
Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.
Once you have submitted your details, you’ll be our top priority!
