logo adn ervp

RGPD: Registres des activités de traitements, documentation, registre sous-traitant

Publié le 31 mai 2024, modifié le 3 juin 2024

·

Accueil > RGPD > RGPD: Registres des activités de traitements, documentation, registre sous-traitant

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 : RGPD (source CNIL)

Registres des activités de traitements

Actions à mener pour une mise en conformité RGPD (Ces actions doivent perdurer dans le temps pour être efficaces). 
Les registres listant vos activités de traitements de données vous permettront d’avoir une vision d’ensemble.

Identifiez ou cartographiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : recrutement, gestion de la paie, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.).

Les différents registres de traitements devront décrire :

  • Les acteurs : le(s) responsable de traitement (l’entreprise), les sous-traitants.
  • Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.).
  • Descriptif du risque : (vol, piratage, pertes de données).
  • L’objectif poursuivi ou la finalité (exemple : Gestion du personnel, obligations légales, paiement des salaires).
  • Déterminer le flux de données : (exemples : PC, disques dur externes, cloud, supports papier).
  • Qui a accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs).
  • La durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive).
  • Données nécessitant la mise en place d’une analyse d’impact (PIA).
  • Mesures de sécurité : Mises en œuvre et préventions pour protéger les données à caractère personnel.
  • Identification et priorisation des actions à mener.

Les registres de traitements sont placés sous la responsabilité du dirigeant de l’entreprise. Pour avoir des registres exhaustifs et à jour, il faut en discuter et être en contact avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

En constituant vos registres d’activité de traitements, vous aurez une vision d’ensemble sur vos traitements de données.

Documentation RGPD

Vous devez constituer une documentation attestant de la conformité au RGPD.

Pour prouver la conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES

  • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants).
  • Les analyses d’impact sur la protection des données (PIA) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes.
  • L’encadrement des transferts de données hors de l’Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)

L’INFORMATION DES PERSONNES

  • Les mentions d’information
  • ​Les modèles de recueil du consentement des personnes concernées,
  • Les procédures mises en place pour l’exercice des droits

LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS

  • Les contrats avec les sous-traitants
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

Registre sous-traitant

En tant que sous-traitant, vous devez tenir un registre des catégories d’activités de traitement que vous effectuez pour le compte de vos clients. Ce registre doit être tenu par écrit et contenir : 

  • Le nom et les coordonnées de chaque client pour le compte duquel vous traitez des données.
  • Le nom et les coordonnées de chaque sous-traitant ultérieur, le cas échéant.
  • Le nom et les coordonnées du délégué à la protection des données, le cas échéant.
  • Les catégories de traitements effectués pour le compte de chaque client.
  • Les transferts de données hors UE que vous effectuez pour le compte de vos clients, le cas échéant.
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en place.