Categories: Régulations

RGPD : la Cnil actualise son modèle de registre de traitements pour les PME

Exit les PDF et les fichiers texte, place au tableur.

La Cnil a choisi le format ODS (feuille de calcul OpenDocument) pour diffuser son nouveau modèle de « registre RGPD ».

L’article 30 du règlement européen impose la tenue d’un tel registre par les organismes qui, dans le cadre de leurs activités, traitent régulièrement des données personnelles.
L’obligation s’impose aussi aux sous-traitants.

Le document doit permettre d’identifier, pour chaque traitement :

– les parties prenantes (le responsable ou sous-traitant, son représentant, son DPO et les éventuels responsables conjoints) ;
– les finalités ;
– les catégories de données traitées et de personnes concernées ;
– les cas échéant, les destinataires des données et les transferts vers un pays tiers ou à une organisation internationale.

On spécifiera par ailleurs, « dans la mesure du possible », les mesures de sécurité techniques et organisationnelles assorties auxdits traitements. Par exemple, la sauvegarde, le chiffrement et la mise en place de systèmes de traçabilité.

Une dérogation pour les PME

Autre information recommandée, mais non obligatoire : les délais envisagés de conservation des données.

La Cnil avait intégré cet élément dans son précédent formulaire. Pas dans la version actualisée, censée répondre « en particulier » aux besoins des petites structures.

L’un des onglets du tableur permet de lister les activités qui nécessitent de traiter des données personnelles.
Un deuxième contient un modèle de fiche opérationnelle à reprendre pour chaque traitement.
Un troisième présente un exemple de mise en page et de saisie du registre.

Ledit registre doit être mis à disposition de la Cnil sur demande.

Les entreprises de moins de 250 salariés (c’est-à-dire les PME au sens de l’Insee) bénéficient d’une dérogation : il ne leur est pas imposé de lister les traitements mis en oeuvre de manière « occasionnelle et non routinière ». Typiquement, une campagne de communication pour l’ouverture d’un établissement.

Il leur appartient, en revanche, de renseigner les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (géolocalisation, vidéosurveillance…). Ainsi que ceux qui impliquent des données sensibles (santé, infractions…).

Photo d’illustration © Andrea Danti – Shutterstock.com

Clément Bohic

Rédacteur pour ITespresso.fr (groupe NetMediaEurope).

Recent Posts

Windows 10 – May 2020 Update : ce qui change côté utilisateur

Quels sont les principaux changements pour les utilisateurs avec la mise à jour de Windows…

3 jours ago

OVHcloud lance sa marketplace

OVHcloud veut développer un écosystème autour de solutions SaaS et PaaS hébergées sur ses infrastructures.

3 jours ago

Build 2020 : Microsoft automatise Teams avec Power

À l'occasion de sa conférence Build 2020, Microsoft a détaillé les projets d'intégration plus poussée…

2 semaines ago

PC Portables : Huawei pousse ses MagicBook et MateBook

Huawei monte en gamme avec sa marque Honor, dont l'implantation sur le marché français des…

2 semaines ago

Dell Precision : six modèles nomades pour la génération 2020

Dell élimine progressivement les disques magnétiques de ses stations de travail de la gamme Precision.…

2 semaines ago

Surface Go 2 : que vaut la nouvelle génération ?

Deux ans après le dernier modèle, une nouvelle Surface Go 2 arrive sur le marché.…

3 semaines ago