Selon l’article 30 du RGPD, chaque entreprise qui traite des données personnelles doit tenir un registre de ces activités de traitement. Ce registre doit être écrit et peut être sous forme électronique. Il doit contenir des informations détaillées sur les activités de traitement, y compris :
- Les noms et coordonnées de l’entreprise, du délégué à la protection des données et, le cas échéant, du représentant de l’entreprise dans l’UE.
- Les finalités du traitement, c’est-à-dire les raisons pour lesquelles l’entreprise traite les données.
- Une description des catégories de personnes concernées et des catégories de données personnelles.
- Les catégories de destinataires auxquels les données ont été ou seront divulguées, y compris les destinataires dans des pays tiers ou des organisations internationales.
- Les transferts de données à un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et la documentation des garanties appropriées.
- Lorsque cela est possible, les délais prévus pour l’effacement des différentes catégories de données.
- Lorsque cela est possible, une description générale des mesures de sécurité techniques et organisationnelles.
Par exemple, si une entreprise de commerce électronique traite les données de ses clients pour les livraisons, elle doit consigner ces informations dans son registre des traitements.
2. Obligation de signaler les violations de données
L’article 33 du RGPD stipule que, en cas de violation de données à caractère personnel, l’entreprise doit la notifier à l’autorité de contrôle compétente sans retard injustifié et, si possible, 72 heures au plus tard après en avoir pris connaissance. Cette notification doit inclure :
- La nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés.
- Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact où plus d’informations peuvent être obtenues.
- La description probable des conséquences de la violation de données à caractère personnel.
- La description des mesures prises ou proposées par l’entreprise pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour atténuer ses effets négatifs possibles.
Par exemple, si une entreprise subit une cyberattaque qui expose les données de ses clients, elle doit signaler cette violation à l’autorité de contrôle compétente et fournir toutes les informations nécessaires.
3. Nomination d’un délégué à la protection des données (DPO)
Selon l’article 37 du RGPD, la nomination d’un DPO est obligatoire pour :
- Les autorités publiques et les organismes publics, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle.
- Les organismes qui, compte tenu de la nature de leurs activités, nécessitent un suivi régulier et systématique des personnes concernées à grande échelle. Par exemple, une entreprise de commerce électronique qui suit le comportement de ses utilisateurs sur son site web à des fins de profilage ou de publicité ciblée.
- Les organismes qui traitent à grande échelle des catégories particulières de données personnelles, comme les données de santé, les données biométriques ou les données sur les condamnations pénales et les infractions. Par exemple, un hôpital qui traite des données de santé à grande échelle.
Le DPO est un acteur clé de la gouvernance des données personnelles et joue un rôle essentiel dans la conformité au RGPD. Ses missions principales sont d’informer et de conseiller l’organisme et ses employés sur leurs obligations, de surveiller la conformité à la réglementation, de conseiller sur les analyses d’impact relatives à la protection des données et de coopérer avec l’autorité de contrôle.
Pour être efficace, le DPO doit disposer des compétences requises, des moyens suffisants et de la capacité d’agir en toute indépendance. Par exemple, il doit avoir une expertise juridique et technique en matière de protection des données personnelles, une bonne connaissance du secteur d’activité de l’entreprise, et ne pas être en situation de conflit d’intérêt.
4. Respect des principes du RGPD
Le RGPD établit plusieurs principes fondamentaux que les entreprises doivent respecter lorsqu’elles traitent des données personnelles. Ces principes sont :
- La licéité, l’équité et la transparence : les données doivent être traitées légalement, équitablement et de manière transparente pour la personne concernée.
- La limitation des finalités : les données doivent être collectées pour des finalités spécifiques, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.
- La minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités pour lesquelles elles sont traitées.
- L’exactitude : les données doivent être exactes et, si nécessaire, tenues à jour.
- La limitation de la conservation : les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
- L’intégrité et la confidentialité : les données doivent être traitées de manière à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées.
Par exemple, si une entreprise utilise les données de ses clients pour leur envoyer des newsletters, elle doit s’assurer que ces données sont collectées légalement (avec le consentement des clients), qu’elles sont utilisées uniquement pour l’envoi des newsletters (limitation des finalités), qu’elles sont exactes et à jour, et qu’elles sont stockées en toute sécurité.
5. Obligation de réaliser une analyse d’impact relative à la protection des données (AIPD)
L’article 35 du RGPD stipule que, lorsque le type de traitement, en particulier en utilisant de nouvelles technologies, est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, l’entreprise doit, avant le traitement, réaliser une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
L’AIPD doit inclure :
- Une description systématique des opérations de traitement envisagées et des finalités du traitement : Cela comprend une explication détaillée des types de données personnelles qui seront traitées, comment elles seront traitées, et pourquoi elles seront traitées.
- Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités : Cela implique d’évaluer si le traitement des données est nécessaire pour atteindre l’objectif visé et si l’ampleur du traitement est proportionnelle à cet objectif.
- Une évaluation des risques pour les droits et libertés des personnes concernées : Cela nécessite d’identifier les risques potentiels pour la protection des données qui pourraient découler du projet, et d’évaluer leur gravité et leur probabilité.
- Les mesures envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et les mécanismes pour assurer la protection des données à caractère personnel et pour démontrer la conformité au RGPD : Cela implique de décrire les mesures qui seront mises en place pour atténuer les risques identifiés et pour garantir que le projet est conforme au RGPD.
Par exemple, si une entreprise envisage d’implémenter une nouvelle technologie de reconnaissance faciale pour améliorer la sécurité de ses locaux, elle doit réaliser une AIPD pour évaluer les risques potentiels pour les droits et libertés des personnes concernées et déterminer les mesures appropriées pour les atténuer.
Qu’est-ce que le registre de traitement RGPD ?
Le registre de traitement RGPD (Règlement Général sur la Protection des Données) est un document qui répertorie tous les traitements de données personnelles effectués par une organisation. Il s’agit d’une exigence du RGPD pour aider à démontrer la conformité à la réglementation. Le registre doit inclure des détails tels que les finalités du traitement, une description des catégories de personnes concernées et des catégories de données personnelles, les transferts de données à des tiers, entre autres informations.
Comment remplir le registre des traitements RGPD ?
Pour remplir le registre des traitements RGPD, vous devez inclure les éléments suivants :
- Nom et coordonnées du responsable du traitement : Cela peut être une personne, une entreprise ou une organisation.
- Finalités du traitement : Pourquoi les données sont-elles collectées et utilisées ?
- Description des catégories de personnes concernées et des catégories de données personnelles : Qui sont les personnes dont les données sont traitées et quel type de données est traité ?
- Catégories de destinataires auxquels les données ont été ou seront divulguées : À qui les données sont-elles transmises ?
- Transferts de données à un pays tiers ou à une organisation internationale : Les données sont-elles transférées en dehors de l’UE ?
- Délais prévus pour l’effacement des différentes catégories de données : Quand les données seront-elles supprimées ?
- Description générale des mesures de sécurité techniques et organisationnelles : Quelles mesures sont prises pour protéger les données ?
Qui doit tenir un registre des traitements ?
Selon le RGPD, chaque responsable du traitement et, le cas échéant, son représentant, doivent tenir un registre des activités de traitement. Cela s’applique également aux sous-traitants.
Quels sont les traitements concernés par le RGPD ?
Le RGPD concerne tous les traitements de données personnelles, c’est-à-dire toute opération ou ensemble d’opérations effectuées sur des données personnelles ou des ensembles de données personnelles, que ce soit par des procédés automatisés ou non.
Comment présenter un registre ?
Il n’y a pas de format spécifique pour présenter un registre de traitement RGPD. Cependant, il doit être tenu par écrit, y compris sous forme électronique. Il peut être utile de le présenter sous forme de tableau pour une lecture facile.
Comment remplir un registre ?
Comme mentionné précédemment, le registre doit inclure des informations spécifiques sur chaque traitement de données personnelles effectué par l’organisation. Il est important de mettre à jour régulièrement le registre pour refléter toute nouvelle activité de traitement.
Qui met à jour le registre des traitements ?
C’est généralement la responsabilité du responsable du traitement de maintenir et de mettre à jour le registre des traitements. Cependant, dans les grandes organisations, cette tâche peut être déléguée à un délégué à la protection des données (DPO) ou à une autre personne chargée de la conformité au RGPD. Il est crucial de s’assurer que le registre est tenu à jour, car il peut être demandé à tout moment par l’autorité de contrôle compétente pour démontrer la conformité de l’organisation au RGPD.