Mais rassurez-vous, l’élaboration d’un registre n’est aujourd’hui plus une opération complexe à condition d’utiliser les bons outils !
Un exemple réel de registre RGPD qui recense les activités de traitement
Voici un exemple de registre RGPD rempli pour une petite entreprise commerciale ; son élaboration prends environ 3 minutes avec un logiciel RGPD,si on importe les traitements standards qui sont déjà prérédigés :
Pour une petite entreprise, il est important de lister les activités de traitement suivantes :
- Les activités de traitement liées au marketing :
- La prospection commerciale
- Le site web (blog / site de présentation de l’entreprise)
- La newsletter (collecte de l’email)
- Les activités sur les réseaux sociaux (le cas échéant)
- L’organisation de petits déjeuners (collecte des cartes de visite)
- Les activités de traitement liées aux opérations commerciales
- La vente des produits et services de l’entreprise
- La facturation
- La comptabilité
- Le suivi et la gestion des devis…
- Les activités de traitement liées aux RH
- Gestion des personnels (paye, avancement, déclarations sociales obligatoires…)
- La formation
- Le recrutement (constitution d’une base CV…)
- Les activités métier (qui dépendent de chaque entreprise) - par exemple pour une entreprise spécialisée en sécurité informatique :
- l’audit
- la formation
- tests d’intrusion
- Le contentieux
- La gestion des obligations RGPD (et oui, il faut “porter le registre au registre”, car le registre va généralement impliquer la mise en oeuvre de traitements de données personnelles…)
Un exemple de fiche registre qui détaille le contenu de ces activités
Une fois que l’on a listé toutes les activités de traitement mises en oeuvre par l’entreprise, il est nécessaire ensuite de détailler chaque fiche registre et notamment de préciser les finalités du traitement :
Par exemple, pour la gestion de la facturation, on pense au premier abord à l’édition des factures, mais il est également nécessaire d’ajouter toutes les activités annexes, telles que : la gestion de l’historique des échanges commerciaux - qui sont des données dont la conservation est déterminante en cas de contentieux, la gestion des taxes (TVA), etc.
Ici, parce que l’on utilise un logiciel de gestion du registre, ces activités de traitement sont déjà prédocumentées (et peuvent être simplement importées en un clic), ce qui économise du temps et un travail laborieux de recensement de toutes les activités de l’entreprise. Utiliser un logiciel de gestion du registre n’est évidemment pas obligatoire, mais cela accélère considérablement l’élaboration du registre (avant on y passait plusieurs semaines, aujourd’hui quelques minutes seulement). Pour reprendre le cas de la gestion de la facturation, voici la description intégrale proposée par le logiciel :
Le présent traitement a pour objet d’assurer la gestion et le suivi des factures de l’organisation tels que la préparation et l’émission de factures et des devis, le calcul des prix, la gestion de la traçabilité des produits et de leur disponibilité, la gestion des contacts commerciaux et de facturation, l’historique des échanges pour l’établissement des factures ou devis, les relances pour impayés, la gestion de la TVA et des taxes associées à la vente, ainsi que la réception de factures à régler, le paiement des ces factures et de manière globale, le contentieux associé à la facturation.
Si vous recensez vos traitements à la main, pensez ensuite ajouter le détail des mentions obligatoires qui sont imposées par l’article 30, et notamment prévoir :
- les destinataires des données (avez-vous pensé aux administrations fiscales ? Et à la CNIL qui légalement peut avoir accès aux données)
- les délais de conservation des données (que vous devez déterminer précisément)
Comment en pratique élaborer son registre
Pour tous les traitements standards, tels que la gestion des factures, la prospection commerciale, la gestion RH, ou encore la mise en place d’outils logiciels standards (Wordpress, Woocommerce, Shopify…), l’import en un clic est vraiment la méthode la plus rapide et la plus efficace :
Pour les autres traitements métiers qui sont très spécifiques à l’entreprise, il faut créer une nouvelle fiche et la remplir manuellement.
Une question qui va rapidement se poser est “combien de traitements faut-il porter au registre” ; cela dépend évidemment de la taille de l’entreprise, du nombre de salariés et des activités en place. Typiquement une entreprise de 200 salariés peut engendrer une quarantaine de traitements si ceux-ci sont bien rédigés. Toutefois, le nombre dépend évidemment de l’étendue des finalités qui sont définies.
Attention à ne pas confondre traitement et fichier…
Dans le processus d’élaboration du registre, il est important de ne pas confondre traitements et fichiers. En effet, une entreprise peut avoir des milliers de fichiers, mais ces fichiers peuvent être intégrés dans un seul et même traitement. C’est souvent le cas pour des activités RH, ou des activités commerciales. Au premier abord on peut s’interroger : comment s’assurer de recenser toutes les activités de traitements alors qu’une entreprise peut parfois gérer des milliers de fichiers Excel ?
On peut effectivement s’en inquiéter, mais en réalité les fichiers d’un service RH ne sont jamais que la traduction d’une seule et même activité de traitement (recruter, gérer le personnel…). Donc peu importe que le service utilise des outils logiciels différents pour la mettre en oeuvre ou qu’il dispose d’un grand nombre de fichiers Excel pour ce faire. S’il mène une seule et même activité de traitement, le registre comportera une seule fiche (en pratique il est fréquent qu’un service RH puisse avoir 5 ou 10 fiches registre, selon l’ampleur des activités - mais ce n’est pas systématiquement le cas ; pour avoir audité les traitements du service RH d’une entreprise du CAC40, celle-ci se reposait sur une seule fiche !).
Pour rappel, voici le détail de l’article 30 qui décrit les éléments qui doivent obligatoirement figurer au registre pour chaque fiche :
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; b) les finalités du traitement; c) une description des catégories de personnes concernées et des catégories de données à caractère personnel; d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées; f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données; g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.