Le registre de traitement des données | Le Monde de la Propreté

Le registre de traitement des données est obligatoire pour tous les organismes, qu’ils soient privés ou publics et quel que soit le secteur d’activité de l’organisme.

Accueil
RGPD La règlementation en matière de
protection des données Le registre de
traitement des données RGPD et
gestion des RH RGPD et
relations commerciales RGPD et
Internet

S'il est précisé que les entreprises de moins de 250 salariés ne sont pas concernées par cette obligation de tenue de registre (article 30 du RGPD), il est, en réalité, fortement recommandé pour toutes les entreprises.

En effet, dans la mesure où les traitements que vous réalisez ne sont ni occasionnels (exemple : gestion de la paie, gestion des adresses mails de vos clients) ni sans risques pour les droits et libertés des personnes concernées (exemple : système de géolocalisation des véhicules, vidéosurveillance de votre entreprise), la tenue d’un registre de traitement est obligatoire.

Ce registre permet également de prouver votre conformité lors d’un contrôle éventuel de la CNIL (Commission Nationale de l’Informatique et des Libertés).

Quelle forme pour le registre ?

Le Registre des activités de traitement est un document interne mis en place par et pour l’entreprise concernée.

Le Registre des activités de traitement doit se présenter sous une forme écrite. Vous pouvez donc librement choisir de le créer au format électronique ou bien de le constituer au format papier.

>> Voir un exemple de fiche de registre

Télécharger le modèle de registre

Informations contenues dans le registre

Le Registre des activités de traitement doit contenir, au minimum, les informations suivantes :

Les coordonnées de votre entreprise et de la personne en charge du dossier de la protection des données personnelles

Par exemple : l’entreprise responsable est NOM DE L’ENTREPRISE, le DPO nommé est Madame/Monsieur NOM DE LA PERSONNE EN CHARGE

Les finalités du traitement des données personnelles

Vous devez décrire clairement l’objet du traitement.
Par exemple : gestion de la paie de mes salariés, gestion des formations de mes salariés, gestion des recrutements, surveillance des locaux, gestion des factures de mes clients.

Les catégories des personnes concernées par le traitement

Listez les différents types de personnes dont vous collectez les données.
Par exemple : candidats, salariés, clients.

Les catégories des données à caractère personnel traitées

Précisez les différentes données traitées :
Par exemple, vous pouvez indiquer qu’il s’agit de données relatives à :

identité (état civil, nom, prénom, date et lieu de naissance, adresse),
vie personnelle (situation familiale, situation matrimoniale, nationalité),
vie professionnelle (scolarité, diplômes, formations suivies),
données financières (données bancaires, rib),
données de connexion (adresse IP, identifiant de connexion),
donnés de localisation (outils de géolocalisation véhicules, données GPS),...
Les destinataires des traitements des données à caractère personnel, qu’ils soient internes ou externes.
Par exemple : Direction des Ressources Humaines, hébergeur informatique, partenaires commerciaux, partenaires de maintenance informatique.
La durée de conservation des données à caractère personnel

Définissez en interne la durée de conservation des données personnelles que vous traitez. Notez que la durée doit être limitée et raisonnable.

Par exemple : 5 ans pour les contrats avec les clients, 5 ans pour les bulletins de paie des salariés sortis, 6 mois pour les cookies.

Nous vous invitons à consulter le référentiel sur les durées de conservation de vos documents mis en place par la FEP.

Les mesures de sécurité mises en place

Précisez quelles sont les mesures internes et techniques qui assurent la sécurité des données personnelles traitées.

Par exemple :

mesures de protection de logiciels tels que les antivirus, les mises à jour mensuelles, etc
mesures de sauvegarde des données : disque dur externe, disque dur interne, etc
chiffrement des données : site accessible en https, TLS, etc.

Les étapes préalables à la mise en place du registre

On vous préconise les 3 étapes préalables suivantes :

Rassemblez les informations disponibles en réunissant et échangeant avec les responsables des différents services qui traitent de la donnée personnelle.

Par exemple : DRH, commerciaux, responsables d’exploitation qui sont en lien avec les salariés et les prestataires, prestataires informatiques, etc.

Listez les traitements que vous faites en définissant avec précision les différentes finalités de ces traitements.

Par exemple : les données bancaires des salariés pour le traitement de la paie, les différents diplômes détenus par les candidats pour le recrutement, les coordonnées nominatives du partenaire commercial pour la conclusion du contrat, etc.

Remplissez le registre des activités de traitement en pensant à l’actualiser à chaque fois qu’une modification intervient dans les données collectées.

Par exemple : changement d’adresse de mon partenaire commercial, allongement de la durée de conservation en raison d’une modification législatvice, nouveau prestataire qui va traiter de la donnée personnelle, etc).

A NOTER

Si vous disposez d’un site internet, vérifiez que vous avez mis en place la politique de confidentialité ainsi qu’une politique des cookies.

En savoir +

POUR EN SAVOIR PLUS

Un autodiagnostic gratuit

La Confédération des PME (CPME) et la CNIL se sont associées pour mettre à disposition un site vous permettant d'évaluer votre entreprise face au RGPD. Ce site a pour vocation de vous sensibiliser et vous expliquer, par 14 questions simples basées sur des usages, quelles sont les obligations auxquelles vous êtes soumis, quels sont les comportements à proscrire et ceux à privilégier. Il vous permettra aussi de mesurer le chemin parcouru et celui restant à parcourir pour vous mettre dans une démarche de conformité.

Procéder à mon autodiagnostic RGPD