Accueil //Blog //RGPD //DPO //Comment être conforme à l’article 30 du RGPD ?

pressfoto-freepik-8-resize

L’article 30 du RGPD exige que les organismes mettent en place un registre répertoriant les traitements effectués sur les données sous leur responsabilité ainsi que ceux réalisés pour le compte de tiers.

Les informations à intégrer permettent d’avoir une vue globale sur les données traitées et leur usage.

Elles ne sont toutefois pas identiques pour le registre constitué en tant que responsable de traitement et pour le registre mis en place en tant que sous-traitant.

Les éléments devant apparaître dans le premier concernent, en plus du nom et des coordonnées du responsable de traitement :

 

  • Les catégories de données personnelles collectées et utilisées
  • Les catégories des personnes concernées
  • Les finalités des traitements
  • Les catégories des destinataires des données
  • Les transferts hors UE
  • Dans la mesure du possible les délais prévus pour l’effacement des données
  • Une description générale des mesures de sécurité techniques et organisationnelles

Le registre du sous-traitant doit, pour sa part, spécifier :

  • Le nom et les coordonnées du ou des sous-traitants et de chaque responsable de traitement pour le compte duquel le sous-traitant agit
  • Les catégories de traitements effectués pour le compte de chaque responsable de traitement
  • Les transferts hors UE
  • Dans la mesure du possible une description générale des mesures de sécurité techniques et organisationnelles

Cette obligation permet de garantir la transparence des traitements et d’aider les organismes à assurer le bon respect de l’ensemble des exigences applicables. Elle est par ailleurs en lien avec la responsabilisation du responsable de traitement, imposant d’élaborer la documentation nécessaire permettant de démontrer la conformité des traitements de données personnelles.

Découvrir les fonctionnalités

Comment procéder ?

La mise en place du registre des traitements passe par plusieurs étapes :

  • Vous devez tout d’abord identifier l’ensemble des données personnelles traitées et déterminer les catégories auxquelles elles appartiennent, les personnes concernées et les sources d’où elles proviennent. Il peut s’agir de données d’identification, telles que le nom, le prénom, de données professionnelles, telles que l’adresse mail, le numéro de téléphone, etc. Ce répertoriage permet d’avoir une vue d’ensemble sur les données détenues et sur leur localisation. Il nécessite l’implication des différents services de l’organisme pour éviter que des données traitées ne soient pas prises en compte.
  • Une fois les données personnelles listées, vous devez créer un registre de vos activités de traitement et commencer à l’alimenter au fur et à mesure en intégrant les informations obligatoires. La mise en place d’un questionnaire devant être rempli par les différents services constitue une bonne pratique qui permet de simplifier l’exercice. Ce questionnaire doit être présenté de manière simple pour faciliter sa compréhension et permettre de récolter des informations sur notamment les raisons pour lesquelles les données sont utilisées, les personnes concernées, les organismes avec qui elles sont partagées, le délai de leur conservation, et les actions prises pour assurer leur sécurité.
  • La tenue d’un registre des traitements n’étant pas un exercice ponctuel, les informations présentes doivent être revues et reproduire l’état réel des traitements. Vous devez donc l’actualiser de manière régulière et assurer son exactitude. Ces modifications doivent être effectuées à chaque fois qu’un traitement est modifié, lorsqu’un nouveau traitement est mis en place, et dans le cas où de nouvelles données sont collectées.

Quel modèle utiliser ?

katemangostar-freepik-resize

Si le registre doit être présenté par écrit et mis à la disposition des autorités de contrôle sur demande, il n’est pas imposé d’utiliser un modèle ou un outil spécifique pour le réaliser. La CNIL propose sur son site un modèle de registre, mais les organismes sont libres de recourir au moyen qui leur convient le plus, en fonction de leur taille, des volumes de données qu’ils traitent, et de la complexité des activités de traitement.

Or, créer un registre des traitements en utilisant les outils bureautiques classiques, tels que Word ou Excel, peut rendre l’exercice complexe, ne pas permettre d’assurer une visibilité optimale des traitements ou encore nécessiter du temps et des efforts pour garantir sa complétude et son actualisation.

 

Pour éviter toutes ces complications, il est recommandé de recourir à un logiciel RGPD tel que celui de Data Legal Drive qui permet de digitaliser votre conformité et de vous accompagner pour assurer le bon respect de l’ensemble des obligations. Vous aurez ainsi la possibilité de constituer le registre des traitements en toute simplicité, de façon progressive, et en étant guidée lors de chaque étape de son remplissage. Vous pourrez aussi avoir une visibilité sur la complétude des traitements, dupliquer les traitements de manière simple et en un clic, transférer les traitements d’une direction à une autre, trier les traitements selon des critères que vous définissez et exporter vos registres aux formats Excel ou PDF.

À lire aussi

Découvrez la solution pour votre conformité RGPD

Piloter sa conformité RGPD n’a jamais été aussi simple grâce au logiciel DLD RGPD. Contactez nos experts afin de découvrir la solution !

Demander une démo