Recherche
Mag Décision Achats
S'abonner à la newsletter S'abonner au magazine
En ce moment En ce moment

DossierRGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données

Publié par le

15 - [Focus] L'élaboration du registre des traitements

Pierre angulaire de la démarche RGPD, le registre des traitements doit faire l'objet d'un soin tout particulier. Décryptage, avec le cabinet BDO, du contenu et de l'élaboration de ce précieux outil.

  • Imprimer

1 - Le registre des traitements: présentation et décryptage

L'élaboration (et la tenue) du registre des traitements mis en oeuvre dans l'entreprise est une des clés de voûte du RGPD. Vous devez être en capacité d'identifier avec précision les types de données à caractère personnel dont dispose votre organisation et savoir où celles-ci sont stockées et transférées.

L'élaboration du registre consiste à indiquer pour chaque traitement de données personnelles:

  • La finalité du traitement (exemples: gestion des clients, paye, etc.);
  • Les catégories de personnes concernées (exemples: salariés, clients, etc.);
  • Les natures des données traitées (exemples: noms, prénoms, données de santé, etc.);
  • Les catégories de destinataires amenés à utiliser les données (DRH, service informatique, prestataires, etc.);
  • Les transferts en dehors de l'UE;
  • Les durées de conservation;
  • Les mesures de sécurité techniques et organisationnelles en place.

Il est essentiel d'établir la liste des traitements par finalité principale (l'objectif du traitement) et non par outil ou applicatif utilisé.

Pour les lecteurs les moins à l'aise avec le concept de finalité de traitement, voici ci-après quelques exemples de finalités communes à beaucoup d'organisations:

  • RH: paye, recrutement, gestion des carrières et formation;
  • Moyens généraux: badges d'accès, vidéosurveillance;
  • Ventes et marketing: gestion des clients et prospects;
  • Achats: questionnaires fournisseurs;
  • SI: suivi des connexions internet, surveillance de l'utilisation des outils informatiques;
  • Autres: dispositif d'alerte professionnelle (mis en place dans le cadre de Sapin II par exemple).

2 - Implications opérationnelles

Afin de construire le registre des traitements, il conviendra d'identifier puis de rencontrer les interlocuteurs-clés traitant les données personnelles au sein de votre organisation (direction des systèmes d'information, ressources humaines, services généraux, marketing, achats, etc.). Ces entretiens pourront être l'occasion de sensibiliser ces personnes-clés à propos des problématiques de protection et de sécurité des données personnelles.

On pourra très bien prendre comme modèle le registre proposé par la Cnil sur son site. Toutefois, rien n'interdit de survitaminer la trame du registre pour en faire un véritable outil de pilotage de votre trajectoire de mise en conformité.

Ce registre, relevant alors davantage du tableau de bord, pourra inclure à titre d'exemple les notions et enjeux suivants:

  • La base juridique du traitement, et l'explicitation attendue dans le cas où l'intérêt légitime a été retenu comme fondement du traitement;
  • Le respect du principe de transparence pour le traitement répertorié (les personnes concernées ont-elles reçues les informations nécessaires? Via quel support?);
  • Le sous-traitants en lien avec le traitement et le niveau de conformité de ces sous-traitants;
  • Etc.

C'est l'ensemble des problématiques RGPD qui pourront être embarquées pour faire de ce registre un outil puissant et centralisant toute l'information utile.

L'auteur

Romain Maillard, senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).

Romain Maillard

NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

Sur le même sujet

Retour haut de page