RGPD : un registre de plus à mettre en place dans les entreprises
Le Règlement Général pour la Protection des Données (RGPD) est une nouvelle règlementation européenne qui vise à renforcer la protection des données personnelles. Il s’agit d’un règlement adopté par le Parlement européen qui applicable au 25 mai 2018 dans tous les pays de l'Union Européenne.
Dans le cadre du RGPD, les entreprises ont désormais l’obligation de tenir une documentation interne complète sur leurs traitements de données personnelles (clients, salariés etc...) et doivent s’assurer que ces traitements respectent bien les nouvelles obligations légales.
Cette documentation interne se concrétise notamment par la tenue d’un registre de traitement des données, que vous allez devoir renseigner.
Rappel : les traitements correspondent à tout processus de collecte, de stockage, d’utilisation, de partage ou encore de destruction des données personnelles au sein de votre entreprise.
Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base, destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE/PME, associations, petites collectivités, etc.).
Modèle au format Word à Télécharger ici. Ce document fera l’objet d’améliorations sur la forme dans les prochaines semaines, afin notamment de prendre en compte les retours d’expériences des usagers et des réseaux professionnels qui l’utiliseront.
Pour créer cette documentation interne, vous devez au préalable recenser concrètement:
- Les différents traitements de données personnelles
Ex : données personnelles relatives aux salariés pour les fiches de salaire
Ex : données personnelles des clients pour la vente de véhicules
Ex : données personnelles des clients pour l’entretien de leur véhicule
Ex : données personnelles des clients d’une école de conduite
- Les catégories de données personnelles traitées : pour chacun des traitements de données personnelles de l’entreprise (ci-dessus), vous devez détailler les catégories de données récoltées.
Ex : nom, adresse complète, adresse mail, téléphone, …
Précision importante: il ne vous est pas demandé de répertorier chaque client pris individuellement ! Le registre a pour but de donner une vision d’ensemble des données que vous collectez.
Attention : si vous récoltez des données sensibles (données relatives à la santé ou aux infractions) vous devez également l’indiquer. Cependant, les artisans n’ont a priori pas besoin de collecter ce type de données et nous vous le déconseillons, sauf à pouvoir en justifier des motifs, en cas de contrôle de la CNIL.
- La finalité de cette collecte (pourquoi vous collectez ces données) : chaque traitement de données doit avoir une finalité précise.
Ex : pour les données personnelles relatives aux salariés > finalité > gestion des ressources humaines
Ex : pour les données personnelles relatives aux clients > finalité > gestion commerciale
- Le lieu où ces données personnelles sont hébergées : les données sont-elles hébergées au sein de l’entreprise ? sont-elles transmises à un sous-traitant gestionnaire de ces données ? sont-elles transférées à un pays tiers ? Indiquez précisément ces informations.
- Pour chaque catégorie de données, combien de temps vous les conservez.
- Les mesures de sécurité mises en oeuvre par votre entreprise pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.
Attention : les informations à tenir dans ce registre sont propres à chaque entreprise. Vous devez par conséquent au préalable réfléchir en interne sur l’ensemble des traitements de données personnelles que vous avez mis en oeuvre.
Par ailleurs, la CNIL a édité sur son site une page d’information détaillée sur le registre qui accompagne la publication de ce modèle. Nous vous conseillons d’en prendre connaissance avant de commencer à renseigner ce registre.