Le Règlement Général pour la Protection des Données (RGPD) est une règlementation européenne qui vise à réformer et renforcer la protection des données personnelles. Il s’agit d’un règlement adopté par le Parlement européen qui est applicable depuis le 25 mai 2018 dans tous les pays de l’Union Européenne.
Depuis cette date, toutes les entreprises doivent être en conformité avec le RGPD sous peine de sanctions.
Dans le cadre du RGPD, les entreprises ont l’obligation de tenir une documentation interne complète sur leurs traitements de données personnelles et doivent s’assurer que ces traitements respectent bien les nouvelles obligations légales. Cette documentation interne se concrétise notamment par la tenue d’un registre de traitement des données, que vous allez devoir renseigner.
Rappel : les traitements correspondent à tout processus de collecte, de stockage, d’utilisation, de partage ou encore de destruction des données personnelles au sein de votre entreprise.
Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base (format ODS) ), destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE/PME, associations, petites collectivités, etc.). Il permet de satisfaire au socle d’exigences posées par l’article 30 du RGPD.
La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.
| Ce nouveau modèle de registre remplace le modèle que la CNIL proposait initialement sous la forme d’un tableau Excel, et est effectivement plus simple à comprendre et à utiliser. Ce modèle vous permettra de recenser dans un document l’ensemble des informations décrites ci-dessous. Nous vous proposons de retrouver ce modèle de registre en annexe, sous format ODS. |
Pour créer cette documentation interne, vous devez au préalable recenser concrètement:
- Les différents traitements de données personnelles
Ex : données personnelles relatives aux salariés pour les fiches de salaire
Ex : données personnelles des clients pour la vente de véhicules
Ex : données personnelles des clients pour l’entretien de leur véhicule
Ex : données personnelles des clients d’une école de conduite
- Les catégories de données personnelles traitées: pour chacun des traitements de données personnelles de l’entreprise (ci-dessus), vous devez détailler les catégories de données récoltées.
Ex : nom, adresse complète, adresse mail, téléphone, …
Précision importante: il ne vous est pas demandé de répertorier chaque client pris individuellement ! Le registre a pour but de donner une vision d’ensemble des données que vous collectez.
Attention : si vous récoltez des données sensibles (données relatives à la santé ou aux infractions) vous devez également l’indiquer. Cependant, les professionnels de l’automobile n’ont a priori pas besoin de collecter ce type de données et nous vous le déconseillons, sauf à pouvoir en justifier des motifs, en cas de contrôle de la CNIL.
- La finalité de cette collecte (pourquoi vous collectez ces données) : chaque traitement de données doit avoir une finalité précise.
Ex : pour les données personnelles relatives aux salariés > finalité > gestion des ressources humaines
Ex : pour les données personnelles relatives aux clients > finalité > gestion commerciale
- Le lieu où ces données personnelles sont hébergées: les données sont-elles hébergées au sein de l’entreprise ? sont-elles transmises à un sous-traitant gestionnaire de ces données ? sont-elles transférées à un pays tiers ? Indiquez précisément ces informations.
- Pour chaque catégorie de données, combien de temps vous les conservez.
- Les mesures de sécurité mises en œuvre par votre entreprise pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.
Attention : les informations à tenir dans ce registre sont propres à chaque entreprise. Vous devez par conséquent au préalable réfléchir en interne sur l’ensemble des traitements de données personnelles que vous avez mis en œuvre.
Par ailleurs, la CNIL a édité sur son site une page d’information détaillée sur le registre qui accompagne la publication de ce modèle. Nous vous conseillons d’en prendre connaissance avant de commencer à renseigner ce registre.
Enfin, dans une vidéo réalisée en étroite collaboration avec la CNIL, le Youtuber Samson Son – alias Cookie Connecté – explique le RGPD aux professionnels encore peu familiarisés avec ce règlement qui entrera en application le 25 mai prochain.
Une 1ere vidéo explique le RGPD (6 mn) :
https://www.youtube.com/watch?v=u4M5lVYv3UI
Une 2e vidéo (15 minutes) répond aux principales interrogations posées par les professionnels :
https://www.cnil.fr/fr/video-le-youtubeur-cookie-connecte-repond-vos-questions-sur-larrivee-du-rgpd
