Considérez que le registre RGPD va devenir l’outil de pilotage de votre conformité RGPD en interne. Tel un tableau de bord, il vous guidera dans votre réflexion sur l’utilité du stockage de telle ou telle donnée et de son niveau de protection. Il va orienter vos actions, les unes après les autres et évoluer avec elles. Vous devez aussi être en mesure de présenter ce document à la CNIL en cas de demande.
Qui doit tenir un registre de traitement des données ?
- Toutes les entreprises ou entités privées ou publiques qui récoltent et traitent des données personnelles : cette mission peut tout-à-fait être attribuée à une personne autre que le DPD ou DPO : Délégué à la Protection des Données. Toutefois, le DPO devra être consulté avant d’inscrire un nouveau traitement dans le registre et disposer des informations actualisées pour remplir son rôle de conseil auprès de la direction de l’entreprise, responsable de traitement au titre du RGPD..
- Si vous êtes un sous-traitant, constituez également un registre ou une rubrique dédiée aux données que vous traitez pour le compte de vos clients.
- Le registre des traitements n’est pas un document public, il constitue un document de référence interne et de suivi de la conformité dont l’exhaustivité permet d’optimiser la gestion des données sensibles et minimiser les risques pour l’entreprise.
Et concrètement, que contient le registre RGPD ?
Il doit recenser tous les types de traitements de données personnelles en place dans votre TPE / PME.,. Ainsi, pour chaque action de collecte, exploitation ou transfert, votre registre doit lister :
- Qui sont les personnes ayant la responsabilité du traitement défini : service, intervenants, etc.
- Quelle est la finalité de la collecte
- Qui sont les personnes concernées (clients, salariés, fournisseurs, etc.)
- Quels types de données sont récoltées
- Qui est amené à réceptionner / voir / traiter ces données : consultant externe, sous-traitant
- Vers quel pays les données sont susceptibles de transiter ?
- Combien de temps seront conservées ces données
- Ce qui est mis en œuvre pour protéger ces données