RGPD : Etablir un registre des activités de traitement

Rassembler les informations disponibles

  1. Identifier les responsables de traitement : Commencez par identifier et rencontrer les responsables opérationnels dans les différents services de votre organisation qui sont susceptibles de traiter des données personnelles.
  2. Analyser le site Internet : Si votre organisme dispose d'un site internet, analysez-le pour identifier les données collectées via les formulaires en ligne (comme les questionnaires, formulaires de contact, création de comptes, etc.). Faites attention également aux mentions d'information sur la protection des données, et à l'utilisation de cookies.
  3. Utiliser les déclarations précédentes : S'appuyer sur les traitements de données déjà déclarés à la CNIL peut fournir une base solide pour comprendre les types de données traitées au sein de votre organisation.

Élaborer la liste des traitements

  1. Lister les activités : Établissez un tableau de suivi qui liste toutes les activités de votre organisation nécessitant le traitement de données personnelles.
  2. Identifier par finalité : Assurez-vous d'identifier les traitements par leur finalité et non par le logiciel utilisé, car un même logiciel peut servir pour différents traitements.
  3. Remplir une fiche de registre par activité : Utilisez les informations collectées lors des entretiens pour remplir une fiche de registre détaillée pour chaque activité de traitement.

Affiner / Préciser

  1. Identifier les risques : À partir de ce registre, identifiez et analysez les risques potentiels qui peuvent affecter les traitements de données mis en œuvre.
  2. Élaborer un plan d'action : En fonction de cette analyse, développez un plan d'action pour assurer la mise en conformité de ces traitements avec le RGPD. Cela peut inclure des mesures comme la mise à jour des politiques de confidentialité, la formation des employés, ou l'amélioration des mesures de sécurité des données.

En suivant ces étapes, vous pouvez établir un registre de traitements qui non seulement répond aux exigences du RGPD, mais qui sert également de référence pour une gestion proactive et responsable des données personnelles au sein de votre organisation.

Composition du document

Informations générales :

  • Coordonnées de l'organisme (ou de son représentant dans l'UE).
  • Coordonnées du délégué à la protection des données (DPO), si applicable.
  • Liste des activités de traitement de données personnelles.

Pour chaque activité de traitement listée, une fiche de registre distincte doit être créée et tenue à jour.

Contenu de la fiche de registre

Chaque fiche de registre doit inclure les informations suivantes :

  • Date de création et de dernière mise à jour de la fiche.
  • Nom du responsable conjoint du traitement (si applicable).
  • Nom du logiciel ou de l'application utilisé (si pertinent).
  • Objectifs poursuivis : Description claire de l'objet du traitement de données personnelles.
  • Catégories de personnes concernées : Liste des types de personnes dont les données sont collectées ou utilisées.
  • Catégories de données collectées : Types de données traitées, y compris les données sensibles.
  • Durées de conservation : Indiquer combien de temps les informations sont conservées.
  • Catégories de destinataires des données : Destinataires internes, organismes externes, et sous-traitants.
  • Transferts des données hors UE : Indiquer si des données sont transmises en dehors de l'UE et les garanties prévues.
  • Mesures de sécurité : Description des mesures organisationnelles et techniques pour protéger les données.

Utilisation du modèle

Pour chaque activité de traitement de données, le modèle de fiche de registre doit être copié et rempli avec des informations spécifiques à cette activité.

Ce modèle de registre est un outil précieux pour les organisations, en particulier les petites structures, pour documenter leurs traitements de données personnelles et assurer leur conformité avec le RGPD. Il est essentiel de le tenir à jour régulièrement pour refléter avec précision toutes les activités de traitement de données au sein de l'organisation.

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaites réserver un appel !