RGPD en entreprise : comprendre le registre des traitements
Pour être en conformité avec le RGPD, presque toutes les entreprises et administrations doivent tenir un registre des traitements de données personnelles. Ce document obligatoire liste de manière exhaustive toutes les activités manipulant des données clients, employés ou partenaires.
Qui est obligé de tenir un registre des traitements ?
Contrairement à une idée reçue, l'obligation concerne toutes les entreprises de plus de 250 salariés, mais également les structures de moins de 250 salariés si le traitement n'est pas occasionnel, s'il comporte un risque pour les droits des personnes, ou s'il porte sur des données sensibles (santé, casier judiciaire).
Les éléments obligatoires à inscrire dans le registre
Pour chaque fiche de traitement (ex: gestion de la paie, newsletter clients), le registre doit préciser :
- Le nom et les coordonnées du responsable de traitement et du Délégué à la Protection des Données (DPO).
- Les finalités du traitement (pourquoi collecte-t-on ces données ?).
- Les catégories de personnes concernées (clients, salariés, prospects).
- Les catégories de données personnelles collectées (coordonnées, données bancaires, IP).
- Les destinataires des données et les transferts de données hors de l'Union Européenne.
- Les durées de conservation des données et une description générale des mesures de sécurité techniques.
En cas de contrôle par la CNIL
Le registre des traitements est le premier document demandé par la CNIL en cas de contrôle ou d'enquête suite à une fuite de données. L'absence de registre ou sa mauvaise tenue constitue une infraction directe passible de lourdes sanctions financières.
Protégez vos données et votre vie privée avec oubli.me
Ne laissez pas les applications, sites web et fuites de données exploiter vos informations personnelles. oubli.me s'occupe de faire supprimer vos traces de façon continue.
Lancer l'audit gratuit