Les registres obligatoires du RGPD

Le RGPD est entré en vigueur le 25 mai 2016 et s’applique à toutes les entreprises françaises depuis le 25 mai 2018. Bien que l’obligation de déclarer un délégué à la protection des données ne s’applique qu’aux plus grandes d’entre elles, toute entreprise petite ou grande doit s’y conformer.

Ceci débute par la tenue d’un registre obligatoire d’après l’ article 30 du RGPD, à savoir le registre des activités de traitement.

Le registre des activités de traitement

Ce registre doit faire l’inventaire exhaustif de tous les traitements de données à caractère personnel réalisés par l’entreprise. De plus, il faut veiller à ce que ce registre soit tenu à jour régulièrement.

En premier, ce registre doit, comme tous les autres registres, comporter les informations du responsable de traitement ainsi que celles du délégué à la protection des données.

Ensuite, pour chaque traitement, il est nécessaire de décrire à minima :

  • Les finalités du traitement
  • Les personnes concernées sous forme de catégories ainsi que les données personnelles
  • Les destinataires des données personnelles
  • La durée de conservation
  • Les mesures de sécurité prises
  • Les sous-traitants en lien avec ce traitement

Le registre de sous-traitants

En qualité de sous-traitants, l’entreprise doit tenir un registre séparé ou non des activités de traitement réalisé par le compte d’un autre responsable de traitement.

Le registre de demande de droit

Ce registre doit permettre de lister l’ensemble des personnes ayant demandé à exercer leurs droits en vertu du RGPD.

Le registre de violation

L’ensemble des potentielles violations de données personnelles comme la perte d’une clé USB ou le vol d’un ordinateur doivent être consignés dans un registre séparé.

Le registre de formation

Chacune des actions de formation ou d’information tel qu’un mail de sensibilisation ou la formation à la sécurité informatique menée dans le cadre du RGPD doivent d’être répertoriés dans un registre.

BONUS : La notion d’accountability

Un des grands principes et aussi un des grands changements apportés par le RGPD est la notion d’accountability. Avant l’entrée en vigueur du RGPD, le traitement de données personnelles devait faire l’objet d’une demande préalable auprès de la CNIL.

Depuis le RGPD, sauf sous certaines conditions particulières, il n’est plus nécessaire de faire de demande préalable auprès de la CNIL.