Le principal problème lié à la constitution du registre est de documenter l’ensemble des traitements de données personnelles d’une organisation.
En pratique, cela signifie lister tous les traitements de données personnelles, puis écrire une documentation pour chaque traitement. C’est-à-dire indiquer notamment (conformément à l’article 30):
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données; b) les finalités du traitement; c) une description des catégories de personnes concernées et des catégories de données à caractère personnel; d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales; e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées; f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données; g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
Vous pouvez rédiger ce traitement à la main (ce qui prend un à deux jours de travail), ou vous épargner ce travail en recourant à un logiciel de conformité RGPD (comme Legiscope, disclaimer : j’en assure la direction scientifique), qui vous permet d’importer la majorité des traitements standards utilisés par les organisations et qui sont déjà prédocumentés. Cela vous économisera de nombreux jours de travail passés à créer une documentation qui n’est pas très utile en pratique (il existe de nombreuses actions de conformité RGPD qui sont utiles et qui permettent de créer de la valeur pour une organisation, mais la documentation reste la partie la plus laborieuse et la moins créatrice de valeur ajoutée).
Prenons un exemple pratique d’une entreprise qui a 25 salariés. Ses traitements de données personnelles sont classiques :
- en matière RH (recrutement, paye, base CV, gestion de la formation des personnels internes, téléphonie sur le lieu de travail),
- en matière commerciale (prospection commerciale, vente de ses biens et services, facturation, gestion de la comptabilité),
- en matière marketing (blog Wordpress, et organisations de petits-déjeuners pour la présentation de ses produits, ainsi que des enquêtes marketing)
- et juridique (gestion du contentieux).
Il suffit d’importer ces traitements dans le registre en quelques clics (moins d’une minute en pratique):
Puis ceux-ci seront immédiatement ajoutés à la liste des traitements mis en oeuvre par l’organisation :
Voici un exemple de traitement pré-documenté :
Et le détail des finalités pour la prospection commerciale :
Le présent traitement a pour objet la réalisation d’opérations de prospection commerciale en vue de la vente de produits et services de l’organisation, tels que la réalisation d’opérations de sollicitations, y compris sur les réseaux sociaux, l’achat, la cession, la location ou l’échange de fichiers de clients et prospects, l’élaboration de statistiques commerciales, l’organisation de jeux-concours, de loteries ou de toute opération promotionnelle, la gestion d’opérations techniques de prospection (normalisation,enrichissement, déduplication), la gestion des avis des personnes sur des produits, services ou contenus, la sélection de personnes pour réaliser des actions de fidélisation, de prospection, d’étude, de sondage, de test produit et de promotion.
Vous trouverez également la liste des destinataires, la base légale, les catégories de personnes concernées et les autres mentions exigées par l’article 30.
Si vous avez déjà passé du temps à rédiger la documentation pour un traitement, vous savez que ces opérations sont très fastidieuses et vous apprécierez certainement d’avoir une base déjà pré-construite que vous n’aurez plus qu’à adapter en fonction de vos besoins spécifiques.
Legiscope est ouvert au public, vous pouvez le tester gratuitement (aucune carte de crédit n’est nécessaire).