Que contient un registre des traitements ?

Toutes les entreprises, quelles qu’elles soient, qui traitent régulièrement des données personnelles, que ce soit sur leurs salariés, leurs clients, leurs prospects ou leurs fournisseurs ont l’obligation de réaliser et de tenir à jour un registre des traitements.

Il s’agit d’un document destiné à recenser l’ensemble des traitements de données personnelles réalisés par l’entreprise. Il constitue l’un des documents essentiels de la mise en conformité au RGPD. En cas de contrôle de la CNIL ou en cas de litige devant un tribunal, le registre des traitements permet à l’entreprise de prouver sa conformité à la réglementation européenne.

Quelles sont les activités de traitement à renseigner dans le registre ?

Il faut d’abord déterminer les différentes activités de traitement à reprendre dans le registre des traitements de données et consacrer ensuite une fiche de votre registre à chaque activité.

Par exemple, le registre peut contenir :

• Des fiches relatives aux relations de l’entreprise avec les clients (gestion du dossier client, gestion administrative de la relation avec le client, gestion des réclamations, etc.)
• Des fiches relatives aux ressources humaines (recrutement des personnels, gestion administrative du personnel, etc.)
• Des fiches relatives aux activités promotionnelles de l’entreprise (organisation d’événements, newsletter, communication, etc.)

Que doit contenir un registre de traitements ?

En pratique, le registre comporte une première page qui reprend les informations générales, à savoir :

• L’identité du responsable des traitements
• La liste des fiches d’activités de traitement effectuées par le responsable de traitement.

Ensuite, pour chaque activité de traitement, une fiche reprend les informations utiles :

• La finalité du traitement, c’est-à-dire en vue de quoi ce traitement est-il opéré ?
• Les catégories de personnes concernées (clients, prospects, salariés, fournisseurs, etc.)
• Les catégories de données personnelles traitées (données d’identification, données bancaires, données sensibles, etc.)
• Les catégories de destinataires, c’est-à-dire les personnes auxquelles les données ont été ou seront communiquées
• Les durées de conservation des données traitées
• Les mesures de sécurité techniques et organisationnelles mises en place afin de sécuriser les données personnelles traitées
• Les mesures prises en cas de transfert des données hors Union européenne

Quelle forme le registre de traitements doit-il prendre ?

Le RGPD ne prescrit pas de forme particulière, la seule condition est que le registre doit être établi sous forme écrite, en version papier ou électronique.

Pour vous aider, la CNIL propose un modèle de registre : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

BDL vous accompagne dans la mise en conformité RGPD de votre structure.