Pour accompagner chaque professionnel dans sa mise en conformité au RGPD, l’Autorité Belge de protection des données (APD) publie deux nouveaux modèles de registre simplifiés qui s’adaptent à de nombreux cas de traitements de données.
Qu’est ce qu’un registre de traitements ?
L’article 30 du RGPD oblige tous les organismes (publics et privés) de toute taille et qui traitent des données personnelles dans le cadre de leurs activités, à avoir un registre de traitements.
Le registre de traitements doit permettre d’identifier :
- le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, et du représentant du responsable du traitement ;
- le nom du délégué à la protection des données (si applicable) ;
- les catégories de données traitées ;
- les objectifs poursuivis dans le cadre de la collecte de ces données ;
- la liste des destinataires des données (p.ex. départements internes et organismes externes tels que les sous-traitants) ;
- les durées ou les critères de conservation des données pour chaque finalité de traitement ;
- les mesures de sécurité organisationnelles et techniques mises en place afin de sécuriser l’accès à ces données ;
- les transferts éventuels de données dans des pays en dehors de l’Espace Économique Européen (EEE) (par exemple si un de vos sous-traitant utilise des serveurs situés en dehors de l’EEE) ;
- les mesures de protection prises dans le cadre de ces transferts des données en dehors de l’EEE.
Pour les sous-traitants qui gèrent des données personnelles pour le compte d’un autre organisme, le règlement prévoit également la tenue d’un registre de traitements.
Ce registre doit comprendre :
- le nom et les coordonnées du sous-traitant des données, et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ;
- le nom du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
- si possible, une description générale des mesures de sécurité techniques et organisationnelles mises en place afin de sécuriser l’accès à ces données ;
- les transferts internationaux (potentiels) de ces donnée dans des pays en dehors de l’EEE.
Le registre de traitements : un outil fondamental de la conformité au RGPD
Avoir un registre de traitements est non seulement une obligation légale et un document qui démontre votre conformité au RGPD, mais aussi un outil de gestion interne vous donnant une vue d’ensemble des traitements opérés par votre entreprise.
De plus, le registre vous aide à mieux comprendre les données que vous utilisez et à vous interroger sur la pertinence de leurs traitements et de leurs conservation dans le cadre de votre activité. Il vous aide aussi à avoir une visibilité de l’ensemble des sous-traitants qui gèrent les données personnelles pour votre compte.
Un format proposé par l’APD simple et facile à utiliser pour tous
Ces modèles de registres de traitements sont disponibles au format .xlsx et contiennent des explications ainsi que des exemples pour vous accompagner à remplir l’ensemble des informations obligatoires.
De plus, ce format est facile à mettre à jour et peut facilement être utilisé dans l’éventualité d’un contrôle de l’APD.
Est-ce que vous préférez l’ancien format plus élaboré ?
Ne vous inquiétez pas, celui-ci reste disponible ici.
Nouveaux modèles de registre des activités de traitement
Version simplifiée pour le responsable du traitement.
Version simplifiée pour le sous-traitant.
Besoin d’un coup de main pour remplir votre registre de traitements ?
Quelques définitions
Qui est le responsable du traitement ?
Au sens du RGPD, le responsable du traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire la raison et la façon dont les données personnelles doivent être traitées.
Qui est le sous-traitant ?
Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (le responsable du traitement), dans le cadre d’un service ou d’une prestation. Par exemple un service d’e-mail d’entreprise stocké sur un service cloud externe, ou un logiciel de gestion clients stocké aussi sur un service cloud.