Etre aidé à l’élaboration du registre de traitements des données

Le registre des traitements est un outil de traitement de pilotage indispensable qui permet de recenser et d’analyser formellement l’ensemble des traitements de données personnelles réalisés par une entreprise en présentant de manière synthétique les caractéristiques de ces dons, il permettra aux autorités de contrôle d’identifier les principales activités de l’entreprises qui demandent d’avoir recours à des traitements de données personnelles.

Il doit permettre d’identifier de façon précise :

  • Les différents parties présentent dans le traitement des données : comme par exemple les représentants, les sous-traitants ou encore les co-responsables.
  • Les différentes catégories de données traitées ;
  • L’utilité des données collectées, la façon dont elles seront utilisées et qui pourra y accéder;
  • Les traitements subies par chaque catégorie de données
  • La durée de conservations de ces données  ;
  • Comment les données sont protégées ?

Tenir un registre de traitement constitue une obligation et un réel outil de démonstration de conformité à la RGPD. Il permettra  aux sociétés de documenter les traitements des données, tout en répondant aux questions essentielles, à savoir :

  • Les données sont-elles assez sécurisées ?
  • Ai-je vraiment besoin de ces données pour exercer mon activités ?
  • Est-il pertinent de conserver aussi longtemps ces données ?

Tenir un registre de traitement de données permettra ainsi à toutes les structures concernées par le RGPD d’identifier, mais aussi de hiérarchiser, les risques encourus au regard de cette loi.

Créer un registre, régulièrement mis à jour, va vous permettre d’échafauder un plan d’action pour votre mise en conformité à  la RGPD. Tenir un traitement des données est obligatoire pour toutes les structures, traitant les données personnelles de citoyens européens, publics comme privés, enregistrant plus de 250 salariés, mais aussi pour toutes les entreprises comptant moins de 250 salariés, lorsque le ou les traitements effectués comportent un risque au regard des droits des personnes concernées, ou s’il n’est pas occasionnel, ou encore s’il concerne des données dites « sensibles ».

Si votre structure opère à la fois en tant que sous-traitant et responsable de traitement, votre registre de traitements  doit donc clairement mentionner les deux catégories d’activités. La CNIL vous recommandera alors de tenir 2 registre. L’ un sera dédié  aux traitements de données personnelles et l’autre sera dédié aux traitements que vous opérez, en tant que sous-traitant pour vos clients. Le registre des traitements de mise en conformité RGPD doit âtre composé d’une fiche pour chaque catégorie de traitements ( Gestion de la paie, gestion des fichiers clients et démarchage commercial, déclarations sociales obligatoires, établissement de statistiques de vente), chaque fiche doit également comporter une série d’informations obligatoires et fixées par le RGPD.

Si une entreprise est sensée mettre en place un Registre et qu’elle ne le fait pas, elle risque d’être sanctionnée par la CNIL. L’amende encourue pourra s’élever jusqu’à 10 000 000 € ou dans le cas d’une entreprise jusqu’à 2 à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. Le montant le plus élevé des deux sera retenu.

A notez que si le  registre de traitement est un élément essentiel voir un pilier dans la mise en conformité RGPD, il n’est pas suffisant pour atteindre et maintenir la conformité. Alors pour ne pas risquer ces lourdes amendes qui pourront pénaliser de manière durable votre entreprise, faites vous accompagner dans ce processus de mise en conformité.

Vous avez débutez votre démarche de mise en conformité avec le RGPD et vous souhaitez un accompagnement de notre cabinet de conseils à Paris, prenez rendez vous pour bénéficier d’un suivi dans l’élaboration de votre registre des traitements. Quel que soit votre niveau d’avancement, Inovency vous accompagne dans la structuration et la mise en oeuvre de vos actions de mise en conformité jusqu’à la validation par la CNIL.

No Comments

Post A Comment