Protection des données personnelles (RGPD) le registre des traitements des données

Le Règlement Général pour la Protection des Données (RGPD) est une nouvelle règlementation européenne qui vise à réformer et renforcer la protection des données personnelles. Il s’agit d’un règlement adopté par le Parlement européen qui sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne.

Le Règlement Général pour la Protection des Données (RGPD) est une nouvelle règlementation européenne qui vise à réformer et renforcer la protection des données personnelles. Il s’agit d’un règlement adopté par le Parlement européen qui sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union Européenne.

A cette date, toutes les entreprises devront être en conformité avec le RGPD sous peine de sanctions[1].

Dans le cadre du RGPD, les entreprises ont désormais l’obligation de tenir une documentation interne complète sur leurs traitements de données personnelles et doivent s’assurer que ces traitements respectent bien les nouvelles obligations légales. Cette documentation interne se concrétise notamment par la tenue d’un registre de traitement des données, que vous allez devoir renseigner.

Rappel : les traitements correspondent à tout processus de collecte, de stockage, d’utilisation, de partage ou encore de destruction des données personnelles au sein de votre entreprise.

Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base (formats RTF et PDF), destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE/PME, associations, petites collectivités, etc.). Il fera l’objet d’améliorations sur la forme dans les prochaines semaines, afin notamment de prendre en compte les retours d’expériences des usagers et des réseaux professionnels qui l’utiliseront.

Ce nouveau modèle de registre remplace le modèle que la CNIL proposait initialement sous la forme d’un tableau Excel, et est effectivement plus simple à comprendre et à utiliser. Ce modèle vous permettra de recenser dans un document l’ensemble des informations décrites ci-dessous. Nous vous proposons de retrouver ce modèle de registre en annexe, sous format Word et PDF.

Pour créer cette documentation interne, vous devez au préalable recenser concrètement:

  • Les différents traitements de données personnelles

Ex : données personnelles relatives aux salariés pour les fiches de salaire

Ex : données personnelles des clients pour la vente de véhicules

Ex : données personnelles des clients pour l’entretien de leur véhicule

Ex : données personnelles des clients d’une école de conduite

  • Les catégories de données personnelles traitées: pour chacun des traitements de données personnelles de l’entreprise (ci-dessus), vous devez détailler les catégories de données récoltées.

Ex : nom, adresse complète, adresse mail, téléphone, …

Précision importante: il ne vous est pas demandé de répertorier chaque client pris individuellement ! Le registre a pour but de donner une vision d’ensemble des données que vous collectez.

Attention : si vous récoltez des données sensibles (données relatives à la santé ou aux infractions) vous devez également l’indiquer. Cependant, les professionnels de l’automobile n’ont a priori pas besoin de collecter ce type de données et nous vous le déconseillons, sauf à pouvoir en justifier des motifs, en cas de contrôle de la CNIL.

  • La finalité de cette collecte (pourquoi vous collectez ces données) : chaque traitement de données doit avoir une finalité précise.

Ex : pour les données personnelles relatives aux salariés > finalité > gestion des ressources humaines

Ex : pour les données personnelles relatives aux clients > finalité > gestion commerciale

  • Le lieu où ces données personnelles sont hébergées: les données sont-elles hébergées au sein de l’entreprise ? sont-elles transmises à un sous-traitant gestionnaire de ces données ? sont-elles transférées à un pays tiers ? Indiquez précisément ces informations.
  • Pour chaque catégorie de données, combien de temps vous les conservez.
  • Les mesures de sécurité mises en œuvre par votre entreprise pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.

Attention : les informations à tenir dans ce registre sont propres à chaque entreprise. Vous devez par conséquent au préalable réfléchir en interne sur l’ensemble des traitements de données personnelles que vous avez mis en œuvre.

Par ailleurs, la CNIL a édité sur son site  une page d’information détaillée sur le registre  qui accompagne la publication de ce modèle. Nous vous conseillons d’en prendre connaissance avant de commencer à renseigner ce registre.

Enfin, dans une vidéo réalisée en étroite collaboration avec la CNIL, le Youtuber Samson Son – alias Cookie Connecté – explique le RGPD aux professionnels encore peu familiarisés avec ce règlement qui entrera en application le 25 mai prochain.

Une 1ere vidéo explique le RGPD (6 mn) :

https://www.youtube.com/watch?v=u4M5lVYv3UI

Une 2e vidéo (15 minutes) répond aux principales interrogations posées par les professionnels :

https://www.cnil.fr/fr/video-le-youtubeur-cookie-connecte-repond-vos-questions-sur-larrivee-du-rgpd

 

[1] Voir notes sur le RGPD dans la base documentaire www.fna.fr