EnglishComment réaliser ses registres des activites de traitement au regard du RGPD ?
Aucun commentaire
STARTUPS, APPRENEZ À REALISER VOS REGISTRES DES ACTIVITES DE TRAITEMENT AU REGARD DU RGPD !
Tenir un registre des activités de traitement est obligatoire si votre startup traite des données personnelles (en tant que responsable du traitement et sous-traitant) au regard de la réglementation européenne (RGPD). Quelles sont les obligations imposées par l’article 30 du RGPD ? Comment tenir ses registres des traitements de données personnelles ?
Si vous ne savez pas répondre à ces interrogations, cet article va vous apprendre comprendre très simplement comment réaliser vos registres des traitements.
1. QUELLES SONT LES OBLIGATIONS IMPOSEES PAR LE RGPD ?
Il n’est plus nécessaire de réaliser des formalités préalables (demandes d’autorisation ou de déclaration de traitements) auprès des autorités de contrôle de protection des données personnelles au sein de l’Union Européenne, contrairement à beaucoup de pays africains (ex : Maroc auprès de la CNDP).
En revanche, en application du principe de responsabilité (principe d’accountability), les startups doivent mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données à tout moment en cas de contrôle.
Une des obligations liées à ce principe d’accountability, est l’obligation de tenir un registre des activités de traitement et cela que la startup agisse en qualité de responsable du traitement ou en qualité de sous-traitant.
2. QUELLES SONT LES ETAPES PREALABLES A RESPECTER POUR L’ELABORATION DE CE REGISTRE DES ACTIVITES DE TRAITEMENT ?
Les étapes préalables indispensables qu’il convient de respecter pour l’élaboration des registres des traitements sont les suivantes :
1. Identifier les traitements de données à caractère personnel effectués par la startup. Cette cartographie des traitements s’effectue via un audit et un recensement des différentes finalités de traitements de données personnelles réalisés dans la startup. Pour réaliser cette cartographie, il convient de :
- Sensibiliser les collaborateurs de la startup sur le sujet de la protection des données à caractère personnel ;
- Intégrer l’ensemble des projets en cours à la cartographie des traitements ;
- Distinguer les métiers/ départements concernés par le traitement de données à caractère personnel ;
- Poser les bonnes questions pour détecter l’ensemble des traitements réalisés par la startup. A ce titre, il convient de cibler les informations demandées aux collaborateurs en fonction des éléments requis pour établir vos registres des traitements.
2. Identifier la qualification au sens du RGPD de la startup pour chaque finalité de traitement pour savoir si elle doit être qualité de « Responsable du traitement » (data controller) ou de sous-traitant (data processor) ou encore de responsable conjoint du traitement (joint controllers).
En application de l’article 4 du RGPD :
- Le responsable de traitement est « celui qui détermine les finalités et les moyens d’un traitement ».
- Le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. »
En effet, en fonction de sa qualification au sens du RGPD, si la startup agit en tant que responsable du traitement et sous-traitant, elle devra tenir deux registres distincts des activités de traitement.
3. QUE CONTIENT VOTRE REGISTRE DES TRAITEMENTS ?
En fonction de votre qualification, votre registre des traitements doit contenir les informations suivantes :
| Responsable de traitement | Sous-traitant | |
| Informations | Nom et coordonnées du responsable de traitement ainsi que le cas échéant du responsable conjoint, du représentant du responsable de traitement et de son DPO | Nom et coordonnées du ou des sous-traitants et de chaque responsable de traitement pour lequel le sous-traitant agit et le cas échéant de son DPO et de ses représentants |
| Finalités du traitement< | Catégories de traitements effectués pour le compte de chaque responsable de traitement | |
| Catégories de personnes concernées< | Transferts de données hors de l’EEE – identifier les pays tiers concernés | |
| Catégories de données personnelles | Description générale des mesures de sécurité techniques et organisationnelles « dans la mesure du possible » | |
| Catégories de destinataires, y compris ceux hors de l’EEE | ||
| Transferts de données hors de l’EEE – identifier les pays tiers concernés | ||
| Durée prévue pour l’effacement des données | ||
| Description générale des mesures de sécurité techniques et organisationnelles « dans la mesure du possible » |
4. NOS CONSEILS POUR ELABORER VOS REGISTRES DES TRAITEMENTS
Nous vous recommandons de :
- N’indiquer que les informations strictement requises par le RGPD.
- Utiliser un format adapté à la startup (format Excel, Word ou logiciel propre à la startup).
- Utiliser un format permettant une exportation ou impression rapide en cas de demande de l’autorité de contrôle.
- Limiter l’accès aux registres aux seules personnes ayant besoin d’y avoir accès dans le cadre de leurs fonctions.
- Tenir à jour les registres en cas de modification des traitements de données personnelles ou a minima tous les 6 mois
En pratique, vos registres doivent refléter ce qui est réellement et effectivement mis en œuvre dans votre start-up.
4. POURQUOI TENIR DES REGISTRES DES ACTIVITÉS DE TRAITEMENT ?
Intérêt pratique : le registre des traitements est un outil de pilotage qui vous permet d’avoir une vision globale sur l’ensemble des traitements de données à caractère personnel réalisés dans la startup. Il vous permet de respecter le principe d’accountability en démontrant votre conformité au RGPD.
Cela vous permet également de répondre à d’autres obligations du RGPD, par exemple :
- identifier d’éventuels traitements « sensibles » qui nécessitent de réaliser une analyse d’impact ;
- s’assurer que les durées de conservation sont proportionnelles aux finalités de traitement des données personnelles ;
- mettre en place des mesures de sécurité adaptées aux traitements et catégories de données personnelles.
Éviter des sanctions financières pouvant aller jusqu’à 2% du chiffre d’affaires mondial annuel de la startup ou 10 millions d’euros d’amende (le montant le plus élevé étant retenu).
A l’issue de cette formation vous pourrez :
- Identifier dans quelles situations vous agissez en tant que responsable de traitement ou en tant que sous-traitant ;
- comprendre en quoi consiste un registre des traitements de données personnelles ;
- apprendre à compléter et tenir vos registres des traitements.
N’hésitez pas à nous contacter pour tout renseignement.
Références :
- Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
- Lignes directrices, recommandations et bonnes pratiques publiées par le Comité Européen de la Protection des Données (CEPD) ;
- Lignes directrices du Groupe de travail de l’article 29 (G29) approuvées par le CEPD ;
- Lignes directrices des autorités européennes de protection des données (ex : en France la Commission Nationale de l’Informatique et des libertés (CNIL), au Royaume-Uni l’Information Commissioner’s Office (ICO), en Espagne l’Agencia de protection de Datos (APD), etc.).
