Attention, il convient de souligner que les organismes de moins de 250 salariés bénéficient d’un régime dérogatoire, au titre duquel ils peuvent n’inscrire au registre que les traitements suivant :
- Les traitements non occasionnels, c’est-à-dire les traitements systématiques et récurrents, nécessaires au bon fonctionnement de l’organisme, tel que par exemple le traitement de données afférent à la gestion de la paie.
- Les traitements pouvant présenter un risque pour les droits et libertés des personnes, c’est-à-dire les traitements relatifs à la vidéosurveillance des salariés.
- Les traitements qui portent sur des données sensibles, telles que les données de santé (par exemple, un salarié qui informerait son entreprise d’un handicap ou d’une maladie nécessitant une adaptation de son poste).
Data Legal Drive vous aide à déterminer si vous entrez dans le cadre de cette exception en vous demandant de renseigner le nombre de collaborateurs présents au sein de votre organisme. Bien évidemment, rien ne vous empêche d’établir un registre « complet » au regard de l’article 30 du RGPD des traitements de données personnelles effectués au sein de votre organisme, et ce même si celui-ci compte moins de 250 salariés !
De la même façon, rien ne vous empêche d’aller plus loin dans votre cartographie des traitements que ce qui est strictement requis par l’article 30 du RGPD. Ainsi, vous pouvez détailler la base légale venant justifier votre traitement, détailler l’origine des données, leur typologie, le type de collecte et leur emplacement de stockage, etc.
C’est exactement ce que vous permet de faire Data Legal Drive via son mode « étendu » !
Cela facilitera grandement la preuve de votre conformité RGPD en cas de contrôle de la CNIL ou même simplement d’audit interne. En effet, un registre clair et bien tenu à un seul endroit, par exemple Data Legal Drive, permet d’avoir une vision d’ensemble des traitements de données personnelles effectués à tout instant.
Car votre conformité doit se maintenir dans le temps. Le registre doit être mis à jour dès lors qu’un nouveau traitement de données apparaît ou qu’un traitement existant est modifié. Ainsi, il conviendra de mettre le traitement à jour si une nouvelle catégorie de données est collectée, la finalité du traitement a changé (attention, dans ce cas, si la base légale de votre traitement est le consentement des personnes concernées, car, dans ce cas, il faudra qu’elles renouvellent leur consentement !), les données sont transférées vers un nouveau tiers, etc…
