Registre de traitement RGPD : comprendre et bien remplir

Le registre de traitement est un document très important pour les entreprises désirant être en règle concernant le RGPD. 

Cependant, certaines entreprises ont du mal à en tenir, car elles ne savent pas le remplir. Qu’est-ce que le registre de traitement et comment le remplir convenablement ?

A lire en complément : Pourquoi utiliser des supports publicitaires pour mettre en avant son stand?

Qu’est-ce que le registre de traitement RGPD ?

Le registre de traitement permet à une entreprise de faire un recensement clair et transparent de l’utilisation des données qui lui sont confiées. Ce document doit permettre d’identifier clairement :

  • Les acteurs intervenant sur le marché (sous-traitant, représentant, coresponsables, etc.) ;
  • L’utilité des données, les personnes à qui elles sont communiquées et celles pouvant y accéder ;
  • La durée de conservation des données ;
  • Les différents types de données traitées ;
  • La manière dont sont sécurisées ces données.

Tenir son registre à jour permet à une entreprise d’identifier et de hiérarchiser les risques auxquels elle s’expose concernant le RGPD. N’hésitez pas à découvrir ce site qui en parle davantage.

Sujet a lire : Conseils efficaces pour bien référencer vos articles de blog

Les organismes concernés par le registre de traitement

Le registre de traitement est exigé pour toutes les entreprises qui font le traitement des données personnelles de citoyens européens. Cette exigence est valable aussi bien pour les structures publiques que privées, peu importe leur taille.

Les structures traitant les données personnelles pour le compte d’une autre entreprise doivent aussi tenir un registre pour leurs activités concernant le traitement de données. Il s’agit ici des sous-traitants comme les agences de communication et les prestataires de services informatiques.

Il est conseillé aux entreprises de tenir deux registres de traitement. L’un pour le traitement de données dont la structure elle-même est responsable et l’autre pour les traitements réalisés en tant que sous-traitant.

Que doit-on remplir dans le registre de traitement de données RGPD du responsable de traitement ?

Ce registre contient uniquement l’ensemble des traitements appliqués aux données personnelles mis en œuvre par la structure elle-même. Il est conseillé d’avoir un registre par activité. Le registre doit comporter les coordonnées de la structure et celles de son représentant (si hors Union européenne).

L’identité du délégué à la protection des données doit aussi figurer. Ainsi, pour chaque activité de traitement, votre registre doit comporter au moins les éléments ci-après :

  • Le nom et les coordonnées du responsable et/ou du responsable conjoint du traitement ;
  • La liste des différents types de données personnelles ;
  • Les délais prévus ou les critères prévus pour la conservation des données personnelles ;
  • Les objectifs en fonction desquels ont été collectées les données ;
  • Les transferts à caractère personnel vers un pays tiers (identifier le pays et les documents montrant l’existence des garanties prévues) ;
  • Les personnes concernées par le traitement des données ; 
  • Les destinataires à qui sont ou seront communiquées les données personnelles.

Que faut-il remplir dans le registre de traitement de données RGPD du sous-traitant ?

Les informations demandées sont plus limitées dans le cadre des sous-traitants. Le registre doit toutefois contenir les différents types d’activités de traitement effectuées pour le compte de chaque client. Il doit donc comporter les éléments ci-après :

  • Les noms et coordonnées d’éventuels sous-traitants ;
  • Les types de traitements de données effectués pour le compte des clients
  • Les transferts de données personnelles vers un pays tiers ;
  • Le nom et les coordonnées de chaque client et de chaque responsable de traitement pour lequel le sous-traitant agit ;
  • Une description générale si possible, des moyens de sécurité mis en œuvre pour la protection des données.

En conclusion, le registre de traitement est obligatoire pour les structures de traitement de données personnelles. Toutefois, il leur permet d’être en règle vis-à-vis du RGPD et de bien suivre leurs données à la vue des informations y figurant.