fbpx
Sélectionner une page

Le règlement européen relatif aux données personnelles, appelé aussi RGPD (Règlement Général de la Protection des Données) est obligatoire depuis le 25 mai 2018, pour toute entreprise qui correspond à un de ces critères:

  • entreprise de plus de 250 salariés
  • entreprise qui effectue un traitement de données personnelles non occasionnel ou qui porte sur des données dites « sensibles » (article 9 du RGPD), quel que soit le nombre de salariés
  • entreprise qui effectue un traitement de données susceptible de comporter un risque de violation des droits et libertés individuelles des personnes concernées par le traitement, quel que soit le nombre de salariés
  • entreprise qui effectue un traitement de données relatif à des condamnations pénales et des infractions, quel que soit le nombre de salariés

De manière générale, 99% des entreprises répondent à un de ces critères. Il est donc important de tenir un registre conformité des données personnelles dès que l’on en possède, tant pour les clients que pour les salariés.

Mais qu’est-ce qu’une donnée personnelle? Comment tenir le registre imposé par la loi? Que doit-il contenir exactement?

Que sont des données personnelles? Pourquoi les protéger?

Une donnée devient personnelle dès lors qu’elle permet de déterminer à quelle personne physique elle fait référence, tant de manière directe qu’indirecte .

Le traitement de données personnelles est donc l’usage (comme une mise à jour, une collecte ou un stockage) qui en est fait par le détenteur de ces données. Ceci afin d’atteindre un objectif appelé finalité. Cette finalité peut être tout simplement de gérer la paie des employés.

Le Registre: qu’est-ce que c’est? Faut-il d’autres documents ?

Le Registre est donc un document répertoriant l’ensemble des activités de traitement de données personnelles effectuées par l’entreprise ET ses sous-traitant.

En plus du Registre, il faut avoir des documents décrivant :

  • les modalités de collecte de données
  • les modalités d’accès aux données
  • les mesures de sécurité prises pour en protéger l’accès et l’usage
  • un plan d’action en cas de violation des données

En cas de contrôle il faudra présenter le Registre et l’ensemble des autres documents.

Quelles informations pour un Registre conforme?

Les mentions obligatoires du registre

Afin d’avoir une registre conforme, il est obligatoire d’y mentionner:

  • le nom et les coordonnées du responsable du traitement
  • les finalités du traitement (le but)
  • la description des catégories de personnes concernées ainsi que des catégories de données personnelles
  • les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées (y compris dans un autre pays)
  • dans le cas où les données sont transmises dans un autre pays doivent apparaître alors les transferts de données personnelles
  • les délais prévus pour l’effacement des différentes catégories de données personnelles
  • une description générale des mesures de sécurité techniques et organisationnelles

Et les sous-traitants?

Les sous-traitants ayant accès aux données personnelles doivent aussi tenir un registre.

Quelles amendes en cas de non-respect?

Si ces obligations ne sont pas tenues, alors le responsable de traitement, et éventuellement les sous-traitants, s’exposent à une amende dont le montant est soit:

  • une somme pouvant aller jusqu’à 10 millions d’euros
  • une somme représentant 2% du chiffres d’affaires annuel mondial sur l’exercice précédent

Comment créer son Registre?

Pour créer son Registre, 3 grandes étapes sont nécessaires:

  • recenser : rassembler les informations disponibles
  • lister : élaborer la liste des traitements
  • analyser : affiner

Recenser

Il faut tout d’abord identifier les responsables des différents services qui sont susceptibles de traiter des données personnelles. De plus, lorsque l’entreprise possède un site internet, il faut identifier toutes les données collectées à travers les formulaires en ligne. Cela peut être avec le formulaire de contact, la création de compte ou encore un questionnaire. Il faut aussi par exemple recenser l’utilisation des cookies.

Lister

Ensuite, à l’aide d’un tableau et des responsables de services, il faut lister les différentes activités de l’entreprise nécessitant le traitement de données personnelles. Les traitements de données doivent alors être identifiés par finalité.

Analyser

Puis, sur la base de ce tableau, il s’agit d’identifier et d’analyser les risques qui peuvent peser sur les traitements de données mis en œuvre. Et enfin, il est nécessaire d’élaborer un plan d’action de mise en conformité au RGPD.

Quels sont les outils existants pour tenir son Registre?

Pour tenir son registre, plusieurs outils sont disponibles.

Tout d’abord, un simple tableur Excel. Celui-ci a d’ailleurs plusieurs avantages:

  • il est facilement modifiable par l’ajout ou la suppression de lignes ou de colonnes
  • il peut être aussi partiellement accessible aux collaborateurs concernés par les traitements

Ensuite, vous pouvez aussi utiliser un outil créé par une entreprise sur internet. Ceci permet d’obtenir un registre conforme, et peut vous faciliter la tâche.

Et enfin, sachez que le Registre manuscrit est autorisé. Cette forme, très peu utilisée mais légale, concerne généralement les toutes petites entreprises et artisans.

unt illae quidem repudiandae, vetustas tamen suo loco conservanda; maxima est enim vis vetustatis et consuetudinis.

Quin in ipso equo, cuius modo feci mentionem, si nulla res impediat, nemo est, quin eo, quo consuevit, libentius utatur quam intractato et novo. Nec vero in hoc quod est animal, sed in iis etiam quae sunt inanima, consuetudo valet, cum locis ipsis delectemur, montuosis etiam et silvestribus, in quibus diutius commorati sumus.

Saepissime igitur mihi de amicitia cogitanti maxime illud considerandum videri solet, utrum propter imbecillitatem atque inopiam desiderata sit amicitia, ut dandis recipiendisque meritis quod quisque minus per se ipse posset, id acciperet ab alio vicissimque redderet, an esset hoc quidem proprium amicitiae, sed antiquior et pulchrior et magis a natura ipsa profecta alia causa. Amor enim, ex quo amicitia nominata est, princeps est ad benevolentiam coniungendam. Nam utilitates quidem etiam ab iis percipiuntur saepe qui simulatione amicitiae coluntur et observantur temporis causa, in amicitia autem nihil fictum est, nihil simulatum et, quidquid est, id est verum et voluntarium.

Homines enim eruditos et sobrios ut infaustos et inutiles vitant, eo quoque accedente quod et nomenclatores adsueti haec et talia venditare, mercede accepta lucris quosdam et prandiis inserunt subditicios ignobiles et obscuros.