LE REGISTRE DES ACTIVITÉS DE TRAITEMENT

Le registre des activités de traitements se situe au centre des différents registres qui doivent être mis en oeuvre par le responsable de traitement et le sous-traitant. Ce registre constitue l'un des quatre point d'attention prioritaires soulignés par la CNIL en matière de mise en conformité  au RGPD.

LA PARTIE VISIBLE D'UN TRAVAIL D'INVENTAIRE DOIT S'INSCRIRE DANS LA DURÉE

Besoin d'aide 

La constitution du registre des activités de traitements constitue la première étape de la mise en conformité des traitements de donnée à caractère personnel.

Le registre des activités de traitement du responsable de traitement et du sous-traitant doivent refléter les résultats d'un travail d'identification des activités principales de l'entreprise engendrant la mise en oeuvre de traitements de données à caractère personnel.

Le responsable de traitement et le sous-traitant doivent tenir eux-mêmes le registre, cette action peut toutefois être réalisée par le délégué à la protection des données avec son accord.

L'autorité de contrôle rappelle que le registre doit permettre de remplir un rôle de document de recensement et d'analyse reflétant la réalité des traitements de l'organise et permettant d'identifier précisément les éléments suivants :

  • Les acteurs du traitement (Parties prenantes)

  • Les catégories de données traitées

  • Ce qui est fait des données à caractère personnel recensées, leur accès et leur communication à d'autres intervenants

  • La durée de conservation

  • Les modalités de sécurisation des données

Les registre des activités de traitements s'inscrivant dans un tronc commun documentaire, il convient toutefois de prendre en compte le périmètre spécifique des différents registres : 

 

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des différents registres RGPD,

  • Le registre des traitements est facultatif en fonction de certains seuils, mais il s'impose pour une valider la conformité des traitements

  • L'élaboration du registre des traitements basé sur un recensement précis permet de mesurer concrètement l’impact du règlement européen sur la protection des données traitées par l'organisme

  • Les registres peuvent être contrôlés par la CNIL, leur complétude est donc essentielle   

  • La mise en place de procédures internes doivent permettre de veiller à l'actualisation régulière des registres

  • Les registres RGPD doivent être initiés dès le début de la feuille de route RGPD

  • En cas de double activé, c'est la conduite d'une activité de responsable de traitement et de sous-traitant, l'organisme doit tenir deux registres séparés

  • Le registre doit être mis à jour régulièrement au regard de l'évolutions des conditions de mise en oeuvre des traitement sous un angle technique et fonctionnel

  • Le registre doit être communiqué à la CNIL à sa demande, notamment dans la cadre de sa mission de contrôle, la communication à d'autres interlocuteurs variant selon que l'organisme est public ou privé

  • Une corrélation pourra être fait le cas échant entre les différents registres, notamment avec celui des violations de données à caractère personnel

NOTRE OFFRE D'ACCOMPAGNEMENT :

Compléter votre outillage RGPD

Le programme de conformité RGPD accountability intégre une check-list des actions pour vérifier l'existence d'une feuille de route cohérence.  Il s'agit d'avancer pas à pas. pour maîtriser le risque de non conformité. L'outillage RGPD s'appuie sur plusieurs Quick-win.

Image de Ferdinand Stöhr

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris