RGPD: la CNIL simplifie son modèle de registre de traitements pour les PME

12 septembre 2019

L’article 30 du règlement européen impose aux organismes qui traitent régulièrement des données personnelles, la constitution, la tenue et le maintien dans le temps d’un registre des traitements. Outil de pilotage et de démonstration de votre conformité, il doit être perçue avant tout comme un outil de gouvernance. Pour simplifier la tâche aux petites structures, l’autorité de régulation a publié, au format tableur, un modèle simplifié de registre.

Finis les PDF et les fichiers texte, place au tableur ! C’est sous un format ouvert et compatible (.ods pour Open Document Spreadsheet) avec la plupart des tableurs (Microsoft Excel, OpenOffice Calc, LibreOffice Calc) que la CNIL actualise son modèle de registre des traitements. Un changement de format qui illustre la volonté de l’autorité de régulation de simplifier la documentation de la conformité mais également la difficulté qu’ont les petites structures à répondre aux exigences du RGPD. En effet, piloter la conformité n’est pas une mince affaire et il est parfois nécessaire d’être accompagné pour éviter les risques et gagner la confiance de ses utilisateurs ou clients.

Prévue par l’article 30 du règlement, la tenue d’un registre des traitements est obligatoire pour tous les organismes, publics ou privés, quelle que soit leur taille, qui traitent, dans le cadre de leurs activités, des données personnelles. Sa constitution est souvent pour les organismes l’occasion de construire un plan solide d’actions de mise en conformité puisqu’en recensant l’ensemble des traitements, on obtient de facto, une vue d’ensemble sur ce qu’on fait au quotidien avec les données personnelles (clients, salariés, fournisseurs…)

Car documenter les traitements des données, c’est se poser les bonnes questions : mes données sont-elles suffisamment sécurisées ? Dois-je toutes les garder ? Ces données sont-elles nécessaires à la finalité de mon traitement ? Etc…

Mis à jour régulièrement ce registre permet de limiter les risques au regard du RGPD. En effet, il doit pouvoir être mis à disposition de la CNIL sur demande.

Que doit contenir le registre ?

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :

  • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • les catégories de données traitées,
  • à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
  • combien de temps vous les conservez,
  • comment elles sont sécurisées

Exemple de fiche de traitements fictifs. (Source CNIL)

Exemple de fiche de traitements fictifs. (Source CNIL)

Dans le cas où votre organisme agit à la fois en tant que sous-traitant et responsable du traitement, on doit pouvoir dans votre registre identifier les deux catégories d’activités.

    • un pour les données personnelles dont vous êtes vous-même responsable
    • Un autre pour les traitements que vous opérez pour le compte de vos clients.

Une dérogation pour les PME de moins de 250 salariés

 Les entreprises de moins de 250 salariés bénéficient d’une dérogation. Elles ne sont pas soumises à l’obligation de lister les traitements mis en oeuvre de façon « occasionnelle et non routinière ».

Par exemple, une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées.

En cas de doute sur l’application d’un traitement, la CNIL préconise de l’intégrer dans votre registre.

Le registre pour les entreprises de moins de 250 salariés doit comporter :

 – les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;

– les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)

– les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

La dérogation est donc limitée à des cas très particuliers de traitements.

Que comporte cette version actualisée ?

Le tableur contient une fiche tutorielle, une fiche de liste de traitements, un modèle de fiche à remplir et une fiche d’exemple.

À lire sur la CNIL : La CNIL publie un nouveau modèle de registre simplifié

Besoin d’être accompagné dans vos démarches de mise en conformité ?

Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises. De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI. Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées. À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).

Dominique COZZI – Journaliste

À lire sur le même sujet :

RGPD : la CNIL dresse le premier bilan

https://www.gdpr-rating.eu/fr/gdpr-la-cnil-dresse-le-premier-bilan/

Les entreprises n’ont aucun intérêt à contourner le règlement

https://www.gdpr-rating.eu/fr/gdpr-les-entreprises-nont-aucun-interet-a-contourner-le-reglement/

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/