LES REGISTRES DU RGPD

Le RGPD crée un nouveau paradigme en terme d'exigence de documentation et de traçabilité de la conformité des traitements de données à caractère personnel. Les registres obligatoires constituent la pierre angulaire du dispositif de conformité.

REMPLIR L'OBLIGATION LÉGALE DE CONSTITUTION DE REGISTRES

La mise en place des registres se situe au centre du pilotage de la conformité au RGPD.

Les registres du RGPD visent à démontrer le respect du règlement européen par le responsable du traitement ou le sous-traitant, et leurs représentants dans l'UE, en consignant des informations obligatoires. Ils s'insèrent dans le cadre des outils de la conformité.

  • Le registre des activités de traitement 

Ce registre structurant du RGPD nécessite pour le responsable de traitemeent et le sous-traitant d'être en mesure de réaliser un regroupement thématique en fonction des activités des traitements. Il s'agit de consigner les éléments descriptifs essentiels en respectant la nomenclature fixée par les textes dans le cas du  registre du responsable des traitements et dans celui du sous-traitant

  • Le registre des violations de données 

Ce registre spécifique répond à l'obligation de sécurité des traitements. Il permet de consigner des volets d'information clés liés à l'ensemble des incidents de sécurité survenus dans le giron de l'obligation de notification des violations des données à caractère personnel.  

  • Le registre du représentant du responsable de traitement ou sous-traitant situé hors UE

Les responsables de traitements et les sous-traitants situés en dehors de l'Union européenne doivent dans certaines conditions désigner un représentant dans l'UE. Un registre des activités de traitement devra être réalisé, de la même manière que pour une activité située dans l'UE. 

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des différents registres RGPD,

  • Le registre des activités de traitement est en théorie facultatif en fonction de certains seuils, mais il s'impose en réalité pour une bonne gouvernance lorsqu'il s'agit de valider la conformité des traitements

  • L'élaboration du registre des activités de traitement basé sur un recensement précis permet de mesurer concrètement l’impact du règlement européen au regard de l'exigence de protection des données traitées par l'organisme

  • Les registres du RGPD peuvent être contrôlés par la CNIL, leur complétude est donc essentielle   

  • La mise en place de procédures internes doivent permettre de veiller à l'actualisation régulière des registres

  • Les registres du RGPD doivent être initiés dès le début de la feuille de route RGPD

  • La question de la boîte à outils étant posée, il convient d'être en veille sur la question du logiciel RGPD, ce dernier pouvant intégrer une fonctionnalité de gestion des registres.

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris