De nombreuses entreprises ne sont pas encore conformes aux nouvelles règles européennes relatives au respect de la vie privée (GDPR ou RGPD). Certaines d’entre elles ont, vite fait bien fait, déniché une déclaration vie privée sur internet pour placer celle-ci sur leur site web. Mais cela ne suffit pas si l’on veut satisfaire à l’obligation de documentation, c’est-à-dire, la conservation d’une trace sur papier des données à caractère personnel que vous recueillez.
Faire d’une pierre deux coups
En tenant à jour un registre interne des activités de traitement, également dénommé « registre des données », vous faites d’une pierre deux coups. Comme vous enregistrez déjà, dans ce registre, toutes vos activités relatives aux données à caractère personnel, vous entreprenez l’étape principale pour répondre à votre obligation de documentation.
Ensuite, la tenue à jour d’un pareil registre est aussi légalement obligatoire. Pendant quelque temps, les petits commerces n’étaient pas certains d’être également tenus au respect de cette obligation, mais selon l’Autorité de protection des données, personne ou presque n’y échappe. Dès que vous comptez un seul client, fournisseur ou membre du personnel, vous devez tenir à jour un registre des données.
Existe-t-il un document type pour le registre des données?
Non, à ce jour, il n’existe pas de modèle de document officiel pour le registre des données. Tous types de registres sont autorisés, tant qu’ils contiennent le contenu minimal défini par la loi. L’Autorité de protection des données met bien à disposition, sur son site, un modèle de registre. Comme il s’agit ici d’un modèle vierge, cela peut vous prendre pas mal de temps si vous débutez avec un document-type.
À la recherche d’un registre simple et clair ? Consultez notre e-shop.
Le registre doit-il être public ?
Non, contrairement à votre déclaration vie privée, le registre des données n’est pas destiné au monde extérieur. En dehors de vous-même, de vos collaborateurs compétents et de l’Autorité de protection des données, cela n’intéresse personne.
Mais… une fois finalisé, vous pouvez utiliser le registre des données pour élaborer une déclaration vie privée correcte pour l’extérieur. D’une pierre… trois coups donc !
Que doit contenir un registre RGPD ?
En tout premier lieu, vous devez y reprendre les données de contact du responsable du traitement. Il s’agit de l’entreprise responsable des données à caractère personnel. Si vous avez désigné un Data Protection Officer, vous le mentionnez également.
Si vous le souhaitez, vous pouvez aussi mentionner avec quels processeurs de données vous collaborez. Une bonne idée pour satisfaire à votre obligation de documentation ! Ensuite, vous complétez le véritable registre. Ici, nous effectuons, en quelque sorte, un tour de l’entreprise et dressons l’inventaire de toutes les activités en matière de traitement des données :
- Quelles données à caractère personnel traitez-vous (adresse e-mail, numéro de GSM, photos…) ?
- De qui traitez-vous les données (clients B2C, collaborateurs, contacts intéressants…) ?
- Pourquoi traitez-vous ces données (gestion clientèle, marketing direct, candidatures…) ?
- Avec quels tiers partagez-vous ces données (dans ou en dehors de l’UE) ?
- Pendant combien de temps conservez-vous les données ?
- Quelle base juridique utilisez-vous pour les traiter (accord, mise en œuvre du contrat, intérêt légitime) ?
- Quelles mesures prenez-vous pour sécuriser les données (contrôle du mot de passe, back-ups, convention de traitement) ?
Prêt(e) ? Que faire maintenant du registre ?
Votre registre est-il prêt ? Conservez-le dans une farde centrale RGPD, où vous regroupez tout ce qui concerne votre obligation de documentation. Ainsi, vous pouvez facilement démontrer que vous prenez au sérieux le respect de la vie privée.
Attention, vous devez entretenir le registre afin qu’il soit toujours à jour. Conservez les anciennes versions du registre comme une sorte de ‘paper trail’ (trace sur papier). Sauvegardez-le régulièrement, afin que le registre ne soit pas perdu en cas de crash informatique ou d’intrusion dans vos systèmes.
Toute entreprise, grande ou petite, est confrontée à des données à caractère personnel. Securex vous aide en vous fournissant des documents ou des conseils sur mesure.