Comprendre le RGPD: focus sur l'élaboration du registre des traitements
1 - Le registre des traitements: présentation et décryptage
L'élaboration (et la tenue) du registre des traitements mis en oeuvre dans l'entreprise est une des clés de voûte du RGPD. Vous devez être en capacité d'identifier avec précision les types de données à caractère personnel dont dispose votre organisation et savoir où celles-ci sont stockées et transférées.
L'élaboration du registre consiste à indiquer pour chaque traitement de données personnelles:
- La finalité du traitement (exemples: gestion des clients, paye, etc.);
- Les catégories de personnes concernées (exemples: salariés, clients, etc.);
- Les natures des données traitées (exemples: noms, prénoms, données de santé, etc.);
- Les catégories de destinataires amenés à utiliser les données (DRH, service informatique, prestataires, etc.);
- Les transferts en dehors de l'UE;
- Les durées de conservation;
- Les mesures de sécurité techniques et organisationnelles en place.
Il est essentiel d'établir la liste des traitements par finalité principale (l'objectif du traitement) et non par outil ou applicatif utilisé.
Pour les lecteurs les moins à l'aise avec le concept de finalité de traitement, voici ci-après quelques exemples de finalités communes à beaucoup d'organisations:
- RH: paye, recrutement, gestion des carrières et formation;
- Moyens généraux: badges d'accès, vidéosurveillance;
- Ventes et marketing: gestion des clients et prospects;
- Achats: questionnaires fournisseurs;
- SI: suivi des connexions internet, surveillance de l'utilisation des outils informatiques;
- Autres: dispositif d'alerte professionnelle (mis en place dans le cadre de Sapin II par exemple).
>> La suite en .
Sur le même thème
Voir tous les articles Réglementation