RGPD : Nouveau modèle de registre simplifié publié par la CNIL

registre des traitements simplifié RGPD

L’autorité de contrôle du RGPD en France est la CNIL (commission nationale de l’informatique et des libertés). Elle a récemment publié un modèle simplifié de registre des traitements de données personnelles. Plus synthétique et plus facile à renseigner, ce nouveau registre s’adresse prioritairement aux petits organismes (TPE/PME, petites collectivités et associations).

Le nouveau registre est disponible en téléchargement au format Excel sur le site de la CNIL.

Nouveau registre des traitements RGPD : plus simple mais toujours obligatoire

Rappelons que tenir un registre des traitements est obligatoire (art. 30 du RGPD) pour tous les organismes publics et privés qui traitent des données personnelles pour leur compte ou pour le compte de leur clients (sous-traitants). Toutes les entreprises sont donc concernées. La seule dérogation concerne les organismes de moins de 250 salariés qui ne mettent en oeuvre des traitements de données personnelles que de manière occasionnelle, et sous réserve que ces traitements ne comportent pas de risque pour les personnes concernées.

Le registre des traitements est le principal outil de la conformité RGPD

Renseigner le registre avec l’ensemble des traitements de données personnelles de l’entreprise est le premier pas vers la conformité. Le registre est constitué de 2 parties : une liste des traitements et une fiche détaillée par traitement. Chaque fiche doit comporter les informations suivantes :

  • Identité du responsable de traitement et du délégué à la protection des données (DPO) le cas échéant ;
  • Finalité et sous-finalités du traitement ;
  • Données personnelles traitées, leur catégorisation et leur délai de conservation ;
  • Catégories de personnes concernées ;
  • Destinataires à qui sont communiquées les données ;
  • Mesures de sécurité mises en place ;
  • Transferts de données hors UE le cas échéant.

Faire vivre le registre pour maintenir sa conformité au règlement

En principe, toute modification de processus ou dans l’organisation de l’entreprise qui modifie à son tour un traitement de données personnelles implique la mise à jour du registre. Cela peut être par exemple une nouvelle donnée collectée, un nouveau destinataire, une modification des outils informatiques de sécurisation, etc… Ceci permet en effet de maintenir sa conformité. 

En pratique, il est difficile de ne pas nommer une personne chargée de la tenue du registre au sein de l’entreprise ou en externe.

> Voir nos prestations de mise en conformité RGPD et DPO

Défilement vers le haut