RGPD et registre des activités de traitement

céline bonardot · 1 Juin 2018

Bonjour,
Après les prises de chou sur le bandeau cookies, les emailing, je me pose la grande question sur les registres des activités de traitement recommandés par la CNIL.
Avez-vous déjà commencé à répertorier vos traitement des données personnelles ?
Depuis le début de la semaine, j'ai le Word ouvert sur mon ordi, mais je n'arrive pas à m'y mettre.

Cdt
Céline

erce78 · 4 Juin 2018

Bonjour,
Avant d'attaquer le registre, il faut lister les traitements.
En gros, il faut que tu identifies toutes les données collectées quelque soit le service. Si tu es dans une boite avec plusieurs services, il te faudra l'aide des responsables de service.

Pour exemple, il y a toutes les données liées aux clients, aux salariés, aux fournisseurs...
J'ai procédé ainsi pour la BU sur laquelle je suis. Je me suis d'abord posé quelques questions

Qu'est-ce que vous conservez comme données ?
Sous quelle forme (cookie, db, fichiers plat...) ?
Comment sont-elles traités (création, collecte, transfert) ?
Où est-ce stocké et avec quel niveau de sécurité ?
Qui y a accès et avec quels droits ?

Un fois ces questions répondues, la moitié du travail est fait.

Une grosse partie, mise à part la rédaction du registre, est de mettre en place les procédures de droit à l'oubli.

A la fin, il ne faut pas oublier de communiquer les infos à tous les acteurs concernés.

céline bonardot · 7 Juin 2018

@erce78 , merci pour ta réponse, cela me confirme dans ce que j'explique à mes collègues mais qu'ils n'ont pas l'air de comprendre. Beaucoup affirment que le RGPD, c'est juste des bandeaux cookies renforcés à installer sur nos sites web, un nettoyage des bases emailing et basta.
Par contre, pour ces fameux registres, j'ai lu sur un site (je ne me souviens pas lequel hélas), qu'ils n'étaient réellement obligatoires que pour des grosses entreprises et pas les PME. Perso, je pense qu'avoir ces registres à moyen terme est bénéfique, quelque soit la taille de l'entreprise.

erce78 · 7 Juin 2018

Il faut effectivement que ce soit isolé sur les sites web pour que ce soit bien visible. Mais la tenu du registre est obligatoire pour les entreprises de plus de 250 salariés. Cependant, si vous manipulez des données très sensibles présentant un risque de violation des droits et libertés individuelles, alors il faut le tenir même si l'entreprise fait moi de 250 salariés.
C'est, je crois la tenue d'une registre des traitements non occasionnels si je me souviens. Et dans ce cas, la désignation d'un DPO n'est pas obligatoire.

Il reste tout de même plus sage d'avoir un registre bien tenu. Ce n'est pas si long à mettre en place.