Le temps de l’inventaire : le Registre de Traitement

Le temps de l’inventaire

En tout premier lieu, vous devez rassembler tous les supports sur lesquels sont présentes des données personnelles.
Faites-en un inventaire complet : carnets, fichiers dans les postes de travail, logiciels de comptabilité et de gestion de votre personnel, réseaux sociaux et supports de communication numérique.

Pour ce qui concerne votre site internet, listez tous les formulaires de collecte de données : vos formulaires de contact, d’abonnement à votre infolettre, votre outil de blog s’il permet aux internautes de laisser un commentaire ou un avis, etc…

Le modèle de registre de traitement de la CNIL est un excellent outil pour effectuer cet inventaire.

Rédiger votre Registre de traitement

Le registre de traitement est obligatoire pour tout organisme public ou privé, donneur d’ordres ou sous-traitant, quelle que soit sa taille.

Le principe est simple : vous listez dans un premier temps les activités de votre entreprise qui nécessitent la collecte et le traitement de données personnelles : gestion des payes, gestion des clients, des prospects et de vos fournisseurs, statistiques de ventes ou de visites sur votre site internet, gestion des accès à vos locaux, etc…
À noter : Le registre est placé sous la responsabilité du dirigeant de la structure.

Créez une fiche par activité et complétez les sections proposées par la CNIL

l’objectif poursuivi (la finalité – exemple : la fidélisation client),
les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire, etc.),
les personnes qui ont accès aux données (le destinataire – exemple : service chargé du recrutement, service informatique, direction, prestataires, partenaires, hébergeurs),
la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive)
les conditions de sécurisation de ces données.

Dérogation pour les entreprises de moins de 250 salariés
Le RGPD limite cette obligation aux seuls traitements suivants :
– les traitements récurrents (ex : gestion de paie, gestion des clients, des prospects, des fournisseurs…)
– les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (ex : géolocalisation, vidéosurveillance…)
– les traitements qui portent sur des données sensibles (ex : données de santé, infractions, opinions politiques, syndicales ou religieuses…

Tenez votre registre à jour : il vous sera demandé en cas de contrôle

Pour avoir un registre exhaustif et à jour, il est important de consulter et de rester en contact avec toutes les personnes de la structure susceptibles de traiter des données personnelles.
Vous n’avez pas à mentionner au registre les traitements purement occasionnels (exemple : fichier constitué pour une opération événementielle ponctuelle comme l’inauguration d’une boutique).
Faites évoluer votre registre pour qu’il devienne le document de référence de toutes les démarches liées aux traitements de DP.

En constituant votre registre, vous aurez une vision d’ensemble sur vos traitements de données.

Consulter l'article de la CNIL sur le Registre des Activités de Traitement

Comprendre le RGPD

Retour au Sommaire
Comprendre le RGPD

← Les droits des personnes sur leurs données

La vérification de la conformité →