Pour gérer vos consentements :

RGPD : la Cnil publie son registre de traitements pour l’exemple

Et si la meilleure façon de développer le réflexe « registre RGPD » était de montrer l’exemple ?

La Cnil a choisi cette voie, en publiant son propre document de référence.
Elle y liste plus d’une cinquantaine d’activités de traitement de données à caractère personnel.

L’article 30 du RGPD impose la tenue d’un tel registre par les organismes qui traitent régulièrement des données personnelles*. L’obligation s’impose aussi aux sous-traitants.

Du côté de la Cnil, on a défini 10 catégories principales d’activités de traitement :

  • Gestion des demandes des usagers (plaintes, droit d’accès indirect, saisines du public professionnel, notifications de violations de données personnelles…)
  • Contrôles, sanctions et contentieux
  • Études, prospectives et partenariats
  • Communication, interventions et événements (sites web, newsletter, réseau sociaux, demandes presse, MOOC « Atelier RGPD »…)
  • Gestion documentaire et information interne
  • Ressources humaines (recrutement, santé-médecine, télétravail, compte personnel de formation, restauration collective…)
  • Conformité et risques (demandes adressées au DPO, sécurité des systèmes d’information, alertes professionnelles…)
  • Informatique et télécoms
  • Marchés, finances et logistique
  • Fonctionnement courant des services

Obligatoire ou facultatif ?

Chacune des 54 fiches contient des éléments que l’article 30 impose :

  • Nom et coordonnées du responsable de traitement (éventuellement du responsable conjoint), de son représentant et du DPO
  • Finalités du traitement
  • Catégories de personnes concernées et catégories de données traitées
  • Catégories de destinataires des données
  • Existence de transferts vers des pays tiers ou à une organisation hors UE
  • Dans la mesure du possible, durée de conservation des données
  • Également dans la mesure du possible, description générale des mesures de sécurité prises (sauvegarde, chiffrement, traçabilité…)

La Cnil intègre aussi des renseignements non obligatoires, mais jugés « utiles au pilotage des traitements et à l’information des personnes concernées » :

  • Base(s) légale(s) ou juridique(s) du traitement
  • Source des données
  • Caractère obligatoire ou facultatif du recueil des données et conséquences en cas de non-fourniture des données
  • Existence d’une prise de décision automatisée
  • Droits des personnes concernées et moyen(s) de les exercer
  • Droit d’introduire une réclamation auprès de la Cnil

Au-delà de son propre registre, la Cnil en propose un modèle simplifié, au format tableur (ODS) et destiné à répondre en particulier aux besoins des petites structures.

* Une dérogation existe pour les organismes de moins de 250 salariés. Elle les dispense de déclarer les traitements mis en œuvre « de manière occasionnelle et non routinière ».

Photo d’illustration © portalgdaviaVisualhunt / CC BY-NC-SA

Recent Posts

GitLab Dedicated : que retenir de cet outil DevOps ?

GitLab rend sa plateforme DevSecOps disponible en tant service géré et à locataire unique. Une…

16 heures ago

Les 10 métiers IT les mieux payés en 2023

Les consultants en cybersécurité, les chefs de projet MOA et les responsables SI peuvent obtenir…

16 heures ago

Accenture : ces 10 entreprises européennes acquises en 2022

AFD.Tech, Greenfish, Carbon Intelligence et l'activité WCM de Stellantis font partie des acquisitions majeures réalisées…

18 heures ago

Cloud souverain : fronde internationale contre un projet de l’ENISA

Un projet de réglementation du marché du Cloud en Europe porté par l'agence européenne de…

18 heures ago

AWS boute un peu plus le protocole TCP hors de son cloud

AWS diffuse progressivement, sur EC2, la prise en charge du protocole SRD (Secure Reliable Diagram)…

19 heures ago

Formation cyber : Microsoft fait équipe avec Simplon

L’Ecole Cyber Microsoft by Simplon se lance avec 17 élèves qui seront, notamment, formés en…

21 heures ago