Login
Service Contact Lex4You
Login

Faites d’une pierre… trois coups: tenez à jour un registre des données RGPD

À la recherche d’une bonne résolution ? Aucun rapport avec vos habitudes alimentaires ou sportives, mais bien avec le maintien « en bon état juridique » de votre entreprise. Les plus assidus effectuent chaque année une vérification de leurs documents de travail, conditions générales, conventions de collaboration, etc. Mais veillez à ce que vos bonnes résolutions demeurent réalistes et commencez par un des principes de base: le droit à la vie privée.

Dernière mise à jour le 9 janvier 2020 par Frederik Dhont

De nombreuses entreprises ne sont pas encore conformes aux nouvelles règles européennes relatives au respect de la vie privée (GDPR ou RGPD). Certaines d’entre elles ont, vite fait bien fait, déniché une déclaration vie privée sur internet pour placer celle-ci sur leur site web. Mais cela ne suffit pas si l’on veut satisfaire à l’obligation de documentation, c’est-à-dire, la conservation d’une trace sur papier des données à caractère personnel que vous recueillez.


Faire d’une pierre deux coups

En tenant à jour un registre interne des activités de traitement, également dénommé « registre des données », vous faites d’une pierre deux coups. Comme vous enregistrez déjà, dans ce registre, toutes vos activités relatives aux données à caractère personnel, vous entreprenez l’étape principale pour répondre à votre obligation de documentation.

Ensuite, la tenue à jour d’un pareil registre est aussi légalement obligatoire. Pendant quelque temps, les petits commerces n’étaient pas certains d’être également tenus au respect de cette obligation, mais selon l’Autorité de protection des données, personne ou presque n’y échappe. Dès que vous comptez un seul client, fournisseur ou membre du personnel, vous devez tenir à jour un registre des données.


Existe-t-il un document type pour le registre des données?

Non, à ce jour, il n’existe pas de modèle de document officiel pour le registre des données. Tous types de registres sont autorisés, tant qu’ils contiennent le contenu minimal défini par la loi. L’Autorité de protection des données met bien à disposition, sur son site, un modèle de registre. Comme il s’agit ici d’un modèle vierge, cela peut vous prendre pas mal de temps si vous débutez avec un document-type.

À la recherche d’un registre simple et clair ? Consultez notre e-shop.  


Le registre doit-il être public ?

Non, contrairement à votre déclaration vie privée, le registre des données n’est pas destiné au monde extérieur. En dehors de vous-même, de vos collaborateurs compétents et de l’Autorité de protection des données, cela n’intéresse personne.

Mais… une fois finalisé, vous pouvez utiliser le registre des données pour élaborer une déclaration vie privée correcte pour l’extérieur. D’une pierre… trois coups donc !


Que doit contenir un registre RGPD ?

En tout premier lieu, vous devez y reprendre les données de contact du responsable du traitement. Il s’agit de l’entreprise responsable des données à caractère personnel. Si vous avez désigné un Data Protection Officer, vous le mentionnez également.

Si vous le souhaitez, vous pouvez aussi mentionner avec quels processeurs de données vous collaborez. Une bonne idée pour satisfaire à votre obligation de documentation ! Ensuite, vous complétez le véritable registre. Ici, nous effectuons, en quelque sorte, un tour de l’entreprise et dressons l’inventaire de toutes les activités en matière de traitement des données :

  • Quelles données à caractère personnel traitez-vous (adresse e-mail, numéro de GSM, photos…) ?
  • De qui traitez-vous les données (clients B2C, collaborateurs, contacts intéressants…) ?
  • Pourquoi traitez-vous ces données (gestion clientèle, marketing direct, candidatures…) ?
  • Avec quels tiers partagez-vous ces données (dans ou en dehors de l’UE) ?
  • Pendant combien de temps conservez-vous les données ?
  • Quelle base juridique utilisez-vous pour les traiter (accord, mise en œuvre du contrat, intérêt légitime) ?
  • Quelles mesures prenez-vous pour sécuriser les données (contrôle du mot de passe, back-ups, convention de traitement) ?


Prêt(e) ? Que faire maintenant du registre ?

Votre registre est-il prêt ? Conservez-le dans une farde centrale RGPD, où vous regroupez tout ce qui concerne votre obligation de documentation. Ainsi, vous pouvez facilement démontrer que vous prenez au sérieux le respect de la vie privée.

Attention, vous devez entretenir le registre afin qu’il soit toujours à jour. Conservez les anciennes versions du registre comme une sorte de ‘paper trail’ (trace sur papier). Sauvegardez-le régulièrement, afin que le registre ne soit pas perdu en cas de crash informatique ou d’intrusion dans vos systèmes.

Toute entreprise, grande ou petite, est confrontée à des données à caractère personnel. Securex vous aide en vous fournissant des documents ou des conseils sur mesure.

Contactez-nous
Frederik Dhont
Conférencier juridique

Frederik est conférencier juridique chez Securex depuis novembre 2019. Sa mission est d’expliquer clairement aux dirigeants d’entreprises ce que signifient les nombreuses lois auxquelles ils sont confrontés. Avant cela, il a exercé la fonction de Conseiller juridique pour des entrepreneurs débutants et expérimentés pendant trois ans.

Frederik est diplômé d’un master en droit à l’UGent, avec une spécialisation en droit social réalisée à l’Université Libre de Bruxelles. Il a ensuite terminé une formation en Digital Content & Journalism à l’Arteveldehogeschool.

Durant son temps libre, il est pianiste pop et joue du keytar dans un groupe qui rend hommage aux artistes des années 80, Radio Spandex.

Ceci pourrait également vous intéresser