S'il est précisé que les entreprises de moins de 250 salariés ne sont pas concernées par cette obligation de tenue de registre (article 30 du RGPD), il est, en réalité, fortement recommandé pour toutes les entreprises.
En effet, dans la mesure où les traitements que vous réalisez ne sont ni occasionnels (exemple : gestion de la paie, gestion des adresses mails de vos clients) ni sans risques pour les droits et libertés des personnes concernées (exemple : système de géolocalisation des véhicules, vidéosurveillance de votre entreprise), la tenue d’un registre de traitement est obligatoire.
Quelle forme pour le registre ?
Informations contenues dans le registre
- Les coordonnées de votre entreprise et de la personne en charge du dossier de la protection des données personnelles
Par exemple : l’entreprise responsable est NOM DE L’ENTREPRISE, le DPO nommé est Madame/Monsieur NOM DE LA PERSONNE EN CHARGE
- Les finalités du traitement des données personnelles
Vous devez décrire clairement l’objet du traitement.
Par exemple : gestion de la paie de mes salariés, gestion des formations de mes salariés, gestion des recrutements, surveillance des locaux, gestion des factures de mes clients.
- Les catégories des personnes concernées par le traitement
Listez les différents types de personnes dont vous collectez les données.
Par exemple : candidats, salariés, clients.
- Les catégories des données à caractère personnel traitées
Précisez les différentes données traitées :
Par exemple, vous pouvez indiquer qu’il s’agit de données relatives à :
- identité (état civil, nom, prénom, date et lieu de naissance, adresse),
- vie personnelle (situation familiale, situation matrimoniale, nationalité),
- vie professionnelle (scolarité, diplômes, formations suivies),
- données financières (données bancaires, rib),
- données de connexion (adresse IP, identifiant de connexion),
- donnés de localisation (outils de géolocalisation véhicules, données GPS),...
- Les destinataires des traitements des données à caractère personnel, qu’ils soient internes ou externes.
Par exemple : Direction des Ressources Humaines, hébergeur informatique, partenaires commerciaux, partenaires de maintenance informatique.
- La durée de conservation des données à caractère personnel
Définissez en interne la durée de conservation des données personnelles que vous traitez. Notez que la durée doit être limitée et raisonnable.
Par exemple : 5 ans pour les contrats avec les clients, 5 ans pour les bulletins de paie des salariés sortis, 6 mois pour les cookies.
Nous vous invitons à consulter le référentiel sur les durées de conservation de vos documents mis en place par la FEP.
- Les mesures de sécurité mises en place
Précisez quelles sont les mesures internes et techniques qui assurent la sécurité des données personnelles traitées.
Par exemple :
- mesures de protection de logiciels tels que les antivirus, les mises à jour mensuelles, etc
- mesures de sauvegarde des données : disque dur externe, disque dur interne, etc
- chiffrement des données : site accessible en https, TLS, etc.
Les étapes préalables à la mise en place du registre
On vous préconise les 3 étapes préalables suivantes :
1
Rassemblez les informations disponibles en réunissant et échangeant avec les responsables des différents services qui traitent de la donnée personnelle.
Par exemple : DRH, commerciaux, responsables d’exploitation qui sont en lien avec les salariés et les prestataires, prestataires informatiques, etc.
2
Listez les traitements que vous faites en définissant avec précision les différentes finalités de ces traitements.
Par exemple : les données bancaires des salariés pour le traitement de la paie, les différents diplômes détenus par les candidats pour le recrutement, les coordonnées nominatives du partenaire commercial pour la conclusion du contrat, etc.
3
Remplissez le registre des activités de traitement en pensant à l’actualiser à chaque fois qu’une modification intervient dans les données collectées.
Par exemple : changement d’adresse de mon partenaire commercial, allongement de la durée de conservation en raison d’une modification législatvice, nouveau prestataire qui va traiter de la donnée personnelle, etc).
A NOTER
Si vous disposez d’un site internet, vérifiez que vous avez mis en place la politique de confidentialité ainsi qu’une politique des cookies.