Ressource: des modèles de registres RGPD

Une personne sceptique devant 3 document.

Caractère obligatoire des registres

La constitution et la mise à jour d’un registre des activités de traitement et d’un registre de sous-traitance sont des obligations prévues à l’article 30 du RGPD. Ceci s’applique à toutes les organisations qui traitent des données personnelles.

Quelques modèles:

Avant les rappels réglementaires voici quelques modèles de registre mis à disposition par les autorités de contrôle:

Modèle simplifié de registre des traitements de la Cnil (autorité française): https://www.cnil.fr/sites/cnil/files/atoms/files/registre-traitement-simplifie.ods

Modèle simplifié de registre des traitements de l’autorité belge : https://www.autoriteprotectiondonnees.be/publications/modele-de-registe-des-activites-de-traitement.xlsx

Modèle de registre de sous-traitance de de l’autorité belge: https://www.autoriteprotectiondonnees.be/publications/modele-de-registre-des-activites-de-traitement-sous-traitants.xlsx

Le registre des activités de traitement

Le registre des traitements doit permettre d’identifier avec précision pour chaque traitement de données personnelles :

  • les parties prenantes intervenant dans le traitement des données,
  • les catégories de données traitées,
  • à quoi servent ces données, qui y accède et à qui elles sont communiquées,
  • combien de temps elles sont conservées,
  • comment elles sont sécurisées.

Un registre simplifié peut-être ouvert par les entreprises de moins de 250 salariés. Elles ne doivent inscrire que les seuls traitements de données suivants :

  • les traitements réguliers (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
  • les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

Le registre de sous-traitance

L’article 30 du RGPD et les recommandations de la CNIL prévoient des obligations spécifiques pour les traitements opérés pour le compte des clients de la société.

En pratique, une fiche de registre doit donc être établie pour chacun des traitements ou catégorie de traitement (hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale, etc.) et doit contenir les éléments minimaux suivants :

  • le nom et les coordonnées de chaque client, responsable de traitement, pour le compte duquel vous traitez les données et, le cas échéant, le nom et les coordonnées de leur représentant au sein de l’UE et dpo ;
  • le nom et les coordonnées des sous-traitants de votre sous-traitance
  • les catégories de traitements effectués pour le compte de chaque client, c’est-à-dire les opérations effectivement réalisées pour leur compte (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.)
  • les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale. Dans les cas très particuliers mentionnés au 2ème alinéa de l’article 49.1 (absence de décision d’adéquation en vertu de l’article 45 du RGPD, absence des garanties appropriées prévues à l’article 46 du RGPD et inapplicabilité des exceptions prévues au 1er alinéa de l’article 49.1), les garanties prévues pour encadrer les transferts doivent être mentionnées.
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.

La forme du registre peut-être soit une ou plusieurs fiches par entreprise, ou une fiche par traitement avec la liste des clients concernés.

Comment se faire aider ?

Si vous avez besoin d’aide pour créer, mettre à jour, relire votre registre de traitement, n’hésitez pas à demander un devis pour obtenir de l’aide d’un consultant de JA-RGPD.

Que ce soit une formation pour apprendre à écrire le registre et à le maintenir, ou la réalisation complète des entretiens et de l’audit initiale, nous trouverons une solution adaptée à vos ressources et à votre budget.