En tout état de cause, vous devriez avoir réalisé qu’il y a 3 registres que vous devez mettre en place ; et la bonne nouvelle est qu’il existe aujourd’hui des logiciels performants qui disposent des principaux traitements pré-rédigés, ce qui vous économise énormément de temps (et d’argent au passage car la documentation d’un traitement coûte environ 1500€/par traitement).
:
Le premier registre est le registre de responsable de traitement imposé par l’article 30 :
» Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. »
Il ne présente pas beaucoup de particularités autres que de nécessiter un énorme travail de recensement de l’ensemble des traitements mis en oeuvre (et non des applications informatiques utilisées par une entreprise – même si cela donne des indications). Les informations à indiquer sont règlementées donc les choses sont assez claires de ce côté, voici la liste pour chaque traitement :
Ce registre comporte toutes les informations suivantes:
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; b) les finalités du traitement; c) une description des catégories de personnes concernées et des catégories de données à caractère personnel; d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées; f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données; g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
Le second registre est le registre sous-traitant, dont pas grand monde ne parle mais qui est tout aussi obligatoire et essentiel. En effet, toujours dans les termes de l’article 30 :
« Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement »
Encore une fois ce registre est règlementé donc les choses sont assez simples quant à la liste des informations qu’il est nécessaire de conserver, puisque celles-ci comprennent :
a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données; b) les catégories de traitements effectués pour le compte de chaque responsable du traitement; c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées; d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
Enfin le 3ème registre est le registre des notification de violations de données personnelles qui doivent être notifiées à la CNIL – notamment – et qui doivent être consignées sur un registre spécifique. Ainsi en cas de contrôle la CNIL pourra analyser le registre des incidents de sécurité – afin de déterminer si l’ensemble des violations de DCP sont bien suivies par l’organisation.
Si ce travail est nouveau pour vous inscrivez-vous à nos formations elle détaillent l’ensemble des process à mettre en oeuvre de manière simple et efficace ce qui vous permettra d’aller à l’essentiel.
