Le registre listant vos traitements de données vous permettra d’avoir une vision d’ensemble.
Identifiez ou cartographiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).
Dans votre registre, créez une fiche (sous-registre) pour chaque activité ou traitement recensés, en précisant :
- Les acteurs : le(s) responsable de traitement (l’entreprise), les sous-traitants.
- Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.).
- Descriptif du risque : (vol, piratage, pertes de données).
- L’objectif poursuivi ou la finalité (exemple : Gestion du personnel, obligations légales, paiement des salaires).
- Déterminer le flux de données : (exemples : PC, disques dur externes, cloud, supports papier).
- Qui a accès aux données (le destinataire - exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs).
- La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).
- Données nécessitant la mise en place d’une analyse d’impact (PIA).
- Mesures de sécurité : Mises en œuvre et préventions pour protéger les données à caractère personnel.
- Identification et priorisation des actions à mener.
Le registre est placé sous la responsabilité du dirigeant de l’entreprise. Pour avoir un registre exhaustif et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.
En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.