Nous avons défini, dans une question précédente, ce qu’est le registre des activités de traitement au sens du RGPD.
Le format du registre est libre. Il peut être constitué au format papier ou électronique. Le RGPD impose seulement qu’il se présente sous forme écrite.
Ce registre doit contenir au moins les informations suivantes :
- le nom et les coordonnées du responsable du traitement ;
- les finalités du traitement ;
- la description des catégories de personnes concernées et des catégories de données à caractère personnel. Le mot ‘’personne’’ décrit un acteur du système (patient, professionnels de santé, partenaire). Ce peut être une personne physique ou morale ;
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
- les délais prévus pour l’effacement des différentes catégories de données ;
- une description générale des mesures de sécurité techniques et organisationnelles.
Pour vous aider, la CNIL propose un modèle de registre open source que vous pouvez enrichir.
Tags : registre contenu
Mon avis de DPD/DPO
Le registre des activités de traitement au sens du RGPD, en dehors du fait qu’il réponde à une obligation légale, c’est un outil qui vous permettra d’avoir une vue d’ensemble sur le traitement des données confiées. Par ailleurs, la démarche de co-construction vous permettant de le compléter, de l’enrichir vous amène facilement au plan d’actions de mise en conformité au RGPD.
N'oubliez pas que le registre documente la mise en conformité au RGPD. Il donne une preuve de pratiques responsables.
Il est nécessaire de vous en emparer pour toujours mieux sécuriser les données à caractère personnel que l’on vous confie.
Prévu à l'article 30 du Règlement Général pour la Protection des données ou RGPD, le registre des activités de traitement nourrit la 6ème étape de la mise en conformité au RGPD : il documente la conformité.
Le registre est un outil interne qui recense les traitements des données effectués et qui aide au pilotage de votre structure.
Il se présente sous la forme d’un document dans lequel vous identifiez les intervenants dans le traitement, les catégories de données traitées, les personnes susceptibles d’accéder aux données, les personnes auxquelles elles sont communiquées, la durée de conservation et les modalités de sécurisation des données.
Sources : https://www.cnil.fr
Mon avis de DPD/DPO
La CNIL recommande de tenir 2 registres. Le premier pour les traitements de données personnelles en tant que responsable de traitement et le second en tant que sous-traitants.
Je conseille l'ouverture d'un troisième registre pour les notifications de violations de données à caractère personnel à la CNIL.
À mon sens, le registre n'est pas à négliger, il permet d'améliorer votre gestion des risques et la qualité de vos services.