Accueil //Blog //RGPD //Gérer son registre des traitements sur Excel : mauvaise idée ?
Crédits photo : pressfoto, Freepik

Registre des traitements RGPD Excel : une pratique encore très répandue ?

Selon le baromètre RGPD de Data Legal Drive, 62% des DPO (ou fonctions en charge de la protection des données personnelles dans leur organisation) affirment ne pas utiliser de logiciel pour gérer leur conformité et notamment leur registre des traitements.

Dans ces cas-là, Excel est souvent le logiciel utilisé par les organisations pour tenir le compte de leurs traitements. Et bien qu’il s’agisse d’un logiciel indispensable au pilotage de nombreuses activités au sein des entreprises, les reproches qui lui sont faits en matière de gestion de la conformité RGPD sont nombreux.

Gérer et maintenir un ou plusieurs registres de traitements implique notamment :

  • De s’assurer de respecter les exigences de la règlementation
  • De faire participer différents intervenants
  • De tracer les ajouts, suppression et mises à jour
  • De le mettre à disposition des autorités de contrôle, de ses responsables de traitements, ou encore des personnes concernées
  • D’utiliser les informations renseignées pour analyser et piloter sa conformité

Mais donc, pourquoi utiliser Excel pour gérer son registre des traitements est donc aujourd’hui obsolète ?

Les reproches faits à Excel pour tenir ses registres sont nombreux :

  • « Je ne sais pas quelle structure lui donner : une feuille ou une ligne par traitement ? »
  • « J’ai 300 lignes de traitement, j’ai du mal à en ressortir quelque chose pour mon pilotage »
  • « La mise à jour est longue, je dois refaire plusieurs fois les mêmes modifications »
  • « Je ne sais pas qui apporte des modifications, quand, et pourquoi »

En quoi les logiciels RGPD tels que Data Legal Drive s’avèrent-ils donc meilleurs pour assurer une conformité simplifiée & pérenne ?

Les experts en droit de la donnée personnelle de Data Legal Drive répondent à toutes vos questions dans cet article !

Découvrir le module

Pour s’assurer de respecter les exigences légales

En son article 30, le RGPD liste les éléments à faire apparaitre (a minima) dans ses registres de traitement (RT et ST). Il existe donc un risque en utilisant un registre créé manuellement de ne pas respecter ces exigences minimales. L’utilisation d’un logiciel dédié permet de s’assurer que la structure du registre et son contenu sont respectueux de l’article 30 (1) et (2) du RGPD.

Les registres de traitement doivent également pouvoir être mis à disposition de l’autorité de contrôle (la CNIL en France), ainsi que des responsables de traitements pour lesquels l’organisation agit en tant que sous-traitant, voire directement aux personnes concernées (notamment pour les organisations de droit public). Ici aussi, utiliser un logiciel dédié permet de pallier le problème. Il facilitera l’export de fiches de traitements, voire du registre dans son intégralité en cas de demande, sans avoir à fournir un fichier Excel de qualité variable.

Autre point : utiliser Excel nécessite de partir « from scratch ». Or tous les secteurs d’activités ne disposent pas de sources d’informations fiables, de doctrine de la part d’autorités, et de modèles mis à disposition librement. Il est parfois complexe de savoir quel traitement des données à faire figurer dans le registre, quelle granularité adopter, etc. Un logiciel bien construit comprendra du contenu adapté aux activités de tous types d’organisations. Cela permet de s’en servir comme point de départ et d’ainsi compléter des traitements préconstruits ou de les utiliser comme point de comparaison.

Enfin, le registre ne permet pas à lui seul de remplir son obligation d’Accountability, c’est-à-dire d’être en mesure de démontrer à tout moment sa conformité. Utiliser Excel pour gérer son registre nécessite d’accompagner ses fichiers avec l’ensemble des éléments documentaires permettant d’illustrer les éléments déclarés dans son registre. Or cela multiplie les besoins d’organisation de ses espaces de stockage, et de relier manuellement l’ensemble des documents avec leurs traitements associés, de manière décentralisée.

Une nouvelle fois, un logiciel bien ficelé vous permettra de centraliser l’ensemble de la documentation qui complète son registre des traitements, et ainsi rendra l’ensemble des informations gravitant autour de votre registre plus accessible depuis votre traitement.

Les + Data Legal Drive :

  • Format de remplissage de vos traitements correspondant à l’article 30, ainsi qu’un format étendu permettant de renseigner des informations supplémentaires et de ce fait de décrire ses traitements de manière plus précise, et parfaire son pilotage de la conformité.
  • Export de votre registre des traitements dans son intégralité, ou en fonction de filtres (e.g. uniquement les traitements contenant des données à caractère personnel de salariés, uniquement les traitements concernés par des transferts de données, etc.) voire une fiche de traitement en particulier, et ce sous plusieurs formats (Excel, PDF, etc.).
  • Accès à une bibliothèque de traitements préremplis en fonction des secteurs d’activité des organisations
  • GED (Gestion Electronique des Documents) intégrée au logiciel, permettant de stocker et de joindre tout document utile accompagnant son registre et assurant d’être en mesure de démontrer sa conformité

Pour faire du registre un outil collaboratif efficace

La création et le maintien d’un registre des traitements n’est pas l’affaire d’une seule personne : les métiers en charge des traitements réalisés, ou encore les membres de l’équipe ou du réseau interne du Délégué à la Protection des Données (DPO) ont leur part de responsabilités. La collaboration sur un (ou souvent plusieurs) fichiers Excel ou Word est limitée.

Excel ne permet pas aisément d’établir un processus de saisie, de revue, de fiabilisation et de validation des traitements renseignés. Un logiciel dédié permet d’intégrer des workflows personnalisés, correspondant à l’organisation interne voulue, et permettra à chacun d’intervenir dans la mesure de ses responsabilités, et d’interagir les uns avec les autres.

Au même titre, lorsque l’organisation comporte plusieurs entités différentes, certains traitements sont gérés de manière centralisée, ou sont similaires d’une entité à une autre. Dans ce cas, gérer son registre sur Excel nécessite de réaliser en double, en triple, voire plus afin de mettre à jour les informations sur plusieurs registres. Utiliser un logiciel dédié offrant des fonctionnalités permettant la copie, le partage et la mise à jour en masse d’informations est un gain de temps et d’efficacité non négligeable afin de se concentrer sur des tâches à plus haute valeur ajoutée.

Enfin, le registre des traitements étant l’œuvre de plusieurs intervenants (Data Protection Officer, métiers, etc.), se servir d’Excel nécessite le partage du fichier aux différentes personnes concernées, et ne permet pas d’attribuer des taches, d’interagir ou de tracer efficacement les interventions de chacun, ce que peut permettre un logiciel de conformité RGPD.

Les + de Data Legal Drive :

  • Configuration de vos propres workflows permettant de définir les utilisateurs qui agiront dans la saisie, l’analyse, la revue ainsi que la validation pour intégration des traitements dans le registre, avec système de notification interne & mail
  • Fonctionnalités de duplication, de partage en lecture seule, et de modifications en masse via l’usage de référentiels
  • Possibilité d’assigner et de déléguer des actions spécifiques liées aux traitements, de faire interagir les personnes en charge de gérer les traitements, et de tracer toutes les évolutions apportées dans le temps au registre des traitements…
Découvrez DLD RGPD

Pour faire du registre un outil de pilotage

Le registre des traitements n’est pas qu’une liste de traitement à mettre à jour afin de la mettre à disposition des autorités. C’est également un référentiel, un outil de pilotage de sa conformité permettant de cartographier ses traitements, en connaitre leurs modalités, identifier les zones de non-conformité, et y remédier.

Utiliser Excel pour maintenir son registre ne permet pas de le visualiser dans son ensemble ni d’identifier aisément les risques de non-conformité. Il est difficile de l’utiliser comme une cartographie des données ou des sous-traitants, et en ressortir des statistiques est une tâche ardue, contrairement à un logiciel dédié qui intègre des fonctionnalités de visualisation et d’accompagnement dans l’analyse des risques permettant d’utiliser le registre comme un outil de pilotage de sa conformité.

Les + de Data Legal Drive :

  • Accompagnement par le biais d’une aide au remplissage de ses traitements, d’identification des critères de risque et de non-conformité des traitements de données (ex. lors du traitement de données sensibles)
  • Cartographie dynamique des données traitées et des éléments constitutifs des traitements et de la constitution automatique de KPIs et statistiques de suivi

Pour s’assurer de sa pérennité et sa sécurité

Le registre des traitements prend du temps à être construit, et être maintenu. Il suppose de nombreuses interventions et mises à jour. Il contient par ailleurs des informations confidentielles, voire sensible concernant les activités de l’organisation et ses processus internes (voire ses défauts de conformité), qu’il est indispensable de prendre en compte dans une démarche de protection de la vie privée.

Au-delà de la sécurisation des données dans le temps, se pose également la question de la gestion des accès aux informations qu’il contient.

Si un fichier Excel peut facilement être supprimé, ou être modifié sans traçabilité ni versionning, un logiciel dédié permettra de se protéger de ces écueils. Par ailleurs, l’accès aux traitements peut se faire de manière sécurisée (login/mot de passe, SSO, etc.) et organisé par exemple via un cloisonnement dédié.

Le + Data Legal Drive :

  • Versioning des fiches de traitements et permet de conserver l’historique de leur contenu et tracer toutes les modifications apportées.
  • Gestion fine des droits (accès, ajouts, modifications, suppression, archivage, etc.) ainsi que du cloisonnement direction ou par traitement.

La question de l’outillage se pose également pour une multitude d’autres aspects de la conformité RGPD :

  • la gestion de la documentation associée au registre
  • la gestion des violations de données et son registre
  • la gestion des exercices de droits
  • le privacy by design
  • la gestion des sous-traitants
  • l’évaluation des tiers
  • le suivi des formations
  • l’analyse d’impact
  • les demandes d’exercices de droits
  • et tous les autres pans du RGPD centralisés au sein d’un seul et unique logiciel

À lire aussi

Besoin d’aide pour constituer votre registre ?

Découvrez les conseils de nos experts RGPD !

Lire le tuto