Nous avons défini, dans une question précédente, ce qu’est le registre des activités de traitement au sens du RGPD.

Le format du registre est libre. Il peut être constitué au format papier ou électronique. Le RGPD impose seulement qu’il se présente sous forme écrite.

Ce registre doit contenir au moins les informations suivantes :

• le nom et les coordonnées du responsable du traitement ;
• les finalités du traitement ;
• la description des catégories de personnes concernées et des catégories de données à caractère personnel. Le mot ‘’personne’’ décrit un acteur du système (patient, professionnels de santé, partenaire). Ce peut être une personne physique ou morale ;
• les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
• les délais prévus pour l’effacement des différentes catégories de données ;
• une description générale des mesures de sécurité techniques et organisationnelles.

Pour vous aider, la CNIL propose un modèle de registre open source que vous pouvez enrichir.

Tags : registre contenu

Mon avis de DPD/DPO

Le registre des activités de traitement au sens du RGPD, en dehors du fait qu’il réponde à une obligation légale, c’est un outil qui vous permettra d’avoir une vue d’ensemble sur le traitement des données confiées. Par ailleurs, la démarche de co-construction vous permettant de le compléter, de l’enrichir vous amène facilement au plan d’actions de mise en conformité au RGPD.

N'oubliez pas que le registre documente la mise en conformité au RGPD. Il donne une preuve de pratiques responsables.

Il est nécessaire de vous en emparer pour toujours mieux sécuriser les données à caractère personnel que l’on vous confie.