Accueil //Blog //RGPD //Zoom sur //Les 3 registres RGPD à mettre en place dans votre entreprise
Crédits photo : Beatriz Pérez Moya, Unsplash

Il y a trois principaux registres à mettre en place au sein de votre organisme.

Tout d’abord, le registre des traitements, qui reprend l’ensemble des traitements de données à caractère personnel effectué au sein de l’organisme. Il permet de déterminer quelles sont les données collectées et traitées, pourquoi, sur quelle base, pour combien de temps, où vont-elles (en interne et en externe), comment sont-elles protégées ? La donnée est ainsi tracée et l’organisme est responsabilisé dans son traitement.

Un autre registre clé est celui des demandes d’exercice de droit. En effet, dans le cadre des traitements de données personnelles, les personnes concernées bénéficient d’un certain nombre de droits consacrés par le RGPD qu’elles peuvent faire valoir auprès des responsables de traitement, à savoir :

  • Un droit d’accès, la personne concernée a ainsi le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations contenues dans le registre des traitements (finalités, durée de conservation, catégories de données, etc.).
  • Un droit à la rectification, lorsque les données traitées sont inexactes ou incomplètes.
  • Un droit à l’effacement des données. Attention, l’effacement n’est possible que dans les cas listés à l’article 17 du RGPD (les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement, la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement, etc.).
  • Un droit à la limitation du traitement de ses données. Attention ici aussi, ce droit est conditionné (par exemple, l‘exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel).
  • Un droit à la portabilité qui permet à la personne concernée de recevoir les données à caractère personnel la concernant qu’elle a fourni à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement initial y fasse obstacle. Ainsi, en cas de changement d’opérateur de téléphone, la personne concernée peut demander le transfert de ses données à l’opérateur initial vers le nouvel opérateur.
  • Un droit d’opposition grâce auquel la personne concernée peut s’opposer, dans une certaine mesure et sous certaines conditions, au traitement de ses données.

Attention ! Tous ces droits ne sont pas applicables à chaque traitement et ne sont pas sans limites.

Le registre des demandes d’exercice de droit vous permet d’avoir une vision globale de toutes les demandes effectuées auprès de vos organismes. L’idée est donc de rassembler toutes les demandes de personnes concernées afin de surveiller leur bon traitement en interne. Car, sauf exception, il convient de répondre à ces demandes dans un délai d’un mois.

Afin de faciliter la mise en place de votre conformité, Data Legal Drive a mis en place une fonctionnalité de registre des demandes d’exercice de droit qui vous permet :

  • De bien noter la date de réception de la demande
  • D’en accuser bonne réception en envoyant un message à la personne concernée directement depuis Data Legal Drive
  • De la transférer vers le service approprié (par exemple, la demande est reçue par le service juridique ayant accès à l’adresse email de contact mais elle concerne le service marketing car il s’agit d’une demande d’effacement d’une liste de diffusion), voire l’entité appropriée (dans le cadre d’un groupe de sociétés avec une adresse email commune pour toutes les demandes d’exercice du groupe)
  • De prendre toutes actions appropriées, ainsi si la demande d’exercice concerne l’effacement d’une liste de diffusion, vous pouvez déclencher une action, identifier la personne concernée au service marketing, lui indiquer quoi faire (i.e. effacer les données de la personne qui a fait la demande) et suivre la progression de cette action
  • Lorsque nécessaire, de demander des informations complémentaires à la personne concernée, directement depuis Data Legal Drive. Ainsi, dans le cadre d’une demande d’accès, vous pouvez demander à la personne concernée de justifier de son identité et/ou lui demander de préciser sa demande lorsqu’il traite une grande quantité de données relatives à la personne concernée, (i.e. sur quelles données porte sa demande)
  • De répondre à la personne concernée directement depuis Data Legal Drive, via nos modèles de réponse, une fois la demande traitée, que la demande soit acceptée ou refusée
  • D’indiquer que la demande a été traitée et donc de clore le dossier
  • D’archiver la demande

Un troisième registre essentiel est celui des violations de données ayant pu affecter l’organisme.

Le RGPD définit la violation de données comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Le RGPD impose à tous les organismes de mettre en place les mesures techniques et organisationnelles appropriées afin d’assurer la protection des données personnelles traitées (articles 33 et 34 du RGPD).

Dès lors, dans l’hypothèse où une violation de données viendrait mettre en péril la sécurité de ces données, l’organisme doit garder trace d’un certain nombre d’éléments.

En effet, quelle que soit la gravité de la violation, le registre interne de l’organisme doit être renseigné. La CNIL indique que ce registre doit a minima contenir un certain nombre d’informations qui ont bien évidemment été reprises par Data Legal Drive afin de vous guider au mieux dans la mise en place et le pilotage de votre conformité RGPD. Ainsi, vous pouvez renseigner les informations suivantes :

  • La nature de la violation, c’est-à-dire détailler ce qui s’est passé (par exemple : un ordinateur a été volé, le site web de l’organisme a été piraté, etc.)
  • Les catégories et le nombre approximatif des personnes concernées par la violation (si un fichier listant les clients de l’entreprise a été piraté, combien de données contenait-il ?)
  • Les catégories et le nombre approximatif de fichiers concernés (si quelqu’un a piraté l’ordinateur d’un salarié, combien de fichiers ont été affectés ?)
  • Les conséquences probables de la violation (le nom/adresse/numéro de téléphone/adresse email des clients de l’entreprise ont fuité et sont désormais aux mains des hackers ou sur internet)
  • Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation (l’ordinateur volé a été bloqué, son contenu a été effacé à distance, le serveur piraté a été rebooté, les serrures/codes d’accès au bâtiment ont été changés, etc.)
  • Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées

Commission_nationale_de_l'informatique_et_des_libertés_logo_CNIL

Sur ce dernier, il convient de rappeler que dès lors que la violation entraîne un risque pour les droits et libertés des personnes concernées, l’organisme doit impérativement notifier la CNIL de la violation dans un délai de 72h. Cela se fait directement via un téléservice sécurisé dédié.

A noter qu’en cas de doute, il est recommandé de notifier à la CNIL et que si vous n’avez pas encore pu rassembler toutes les informations requises vous pourrez toujours effectuer une notification complémentaire ultérieurement. En outre, s’il s’avère que le risque pour les droits et libertés des personnes concernées est élevé, en sus de la notification à la CNIL, lesdites personnes concernées devront être informées de la violation. C’est pourquoi lors de la violation de données ayant affecté l’APHP, celle-ci a dû informer les personnes concernées de la violation.

Déterminer si une violation à la CNIL/l’information des personnes est nécessaire est une démarche casuistique dont la conclusion va dépendre de chaque violation et de chaque organisme concerné. Ainsi, la CNIL explique que l’organisme doit tenir compte des éléments suivants :

  • Le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données)
  • La nature, la sensibilité et le volume des données personnelles concernées
  • La facilité d’identifier les personnes touchées par la violation
  • Les conséquences possibles de celles-ci pour les personnes
  • Les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.)
  • Le volume de personnes concernées
  • Les caractéristiques de l’organisme responsable du traitement (nature, rôle, activités)

L’important est de pouvoir justifier de votre conformité en cas de contrôle de la CNIL. Grâce au registre des violations de Data Legal Drive, vous pouvez rapidement établir et présenter à la CNIL les éléments requis en cas de violation et les démarches entreprises afin de remédier à la violation et d’empêcher qu’elle ne se réitère.

À lire aussi

« L’enjeu de l’utilisation des données personnelles (…) a aussi fait l’objet d’une prise de conscience de la part des citoyens puisque, par exemple, le nombre de plaintes que nous recevons a été multiplié par deux environ depuis la mise en œuvre du règlement. »

– Marie-Laure Denis, Présidente de la CNIL