RGPD : la Cnil publie son registre de traitements

La Cnil a choisi de publier son propre registre RGPD qui  liste plus d’une cinquantaine d’activités de traitement de données à caractère personnel.

L’article 30 du RGPD impose la tenue d’un tel registre par les organismes qui traitent régulièrement des données personnelles*. L’obligation s’impose aussi aux sous-traitants.

Du côté de la Cnil, on a défini 10 catégories principales d’activités de traitement :

  • Gestion des demandes des usagers (plaintes, droit d’accès indirect, saisines du public professionnel, notifications de violations de données personnelles…)
  • Contrôles, sanctions et contentieux
  • Études, prospectives et partenariats
  • Communication, interventions et événements (sites web, newsletter, réseau sociaux, demandes presse, MOOC « Atelier RGPD »…)
  • Gestion documentaire et information interne
  • Ressources humaines (recrutement, santé-médecine, télétravail, compte personnel de formation, restauration collective…)
  • Conformité et risques (demandes adressées au DPO, sécurité des systèmes d’information, alertes professionnelles…)
  • Informatique et télécoms
  • Marchés, finances et logistique
  • Fonctionnement courant des services

Obligatoire ou facultatif ?

Chacune des 54 fiches contient des éléments que l’article 30 impose :

  • Nom et coordonnées du responsable de traitement (éventuellement du responsable conjoint), de son représentant et du DPO
  • Finalités du traitement
  • Catégories de personnes concernées et catégories de données traitées
  • Catégories de destinataires des données
  • Existence de transferts vers des pays tiers ou à une organisation hors UE
  • Dans la mesure du possible, durée de conservation des données
  • Également dans la mesure du possible, description générale des mesures de sécurité prises (sauvegarde, chiffrement, traçabilité…)

La Cnil intègre aussi des renseignements non obligatoires, mais jugés « utiles au pilotage des traitements et à l’information des personnes concernées » :

  • Base(s) légale(s) ou juridique(s) du traitement
  • Source des données
  • Caractère obligatoire ou facultatif du recueil des données et conséquences en cas de non-fourniture des données
  • Existence d’une prise de décision automatisée
  • Droits des personnes concernées et moyen(s) de les exercer
  • Droit d’introduire une réclamation auprès de la Cnil

Au-delà de son propre registre, la Cnil en propose un modèle simplifié, au format tableur (ODS) et destiné à répondre en particulier aux besoins des petites structures.

* Une dérogation existe pour les organismes de moins de 250 salariés. Elle les dispense de déclarer les traitements mis en œuvre « de manière occasionnelle et non routinière ».

Photo d’illustration © portalgdaviaVisualhunt / CC BY-NC-SA

Clément Bohic @clement_bohic

Rédacteur pour ITespresso.fr (groupe NetMediaEurope).

Recent Posts

Galaxy Z Flip : focus sur le smartphone pliable de Samsung

Samsung a officialisé un deuxième smartphone à écran pliable : le Galaxy Z Flip. Qu'est-ce qui change ?

3 jours ago

Collaboratif : Office 365 laisse une (petite) place aux applis concurrentes

Les utilisateurs d'Office 365 utilisent des solutions « alternatives » en complément, notamment pour la messagerie instantanée, le partage de…

3 jours ago

Smartphones : Apple recolle à Samsung

En volume, les ventes d’iPhone ont dépassé celles de Samsung au dernier trimestre de 2019. Mais le constructeur coréen reste…

2 semaines ago

Travail collaboratif : G Suite veut monter en puissance

Google travaillerait sur une application mobile pour concurrencer Slack et Teams. Objectif : donner aux entreprises l'accès aux fonctionnalités de…

3 semaines ago

Travail collaboratif : Slack héberge les données en France

Slack va localiser les données - notamment les messages, les mémos, les fichiers et les requêtes de recherche - de…

4 semaines ago

Budget IT : une année 2020 sous le signe du cloud

Pour 2020, les entreprises vont orienter toujours plus leurs investissements vers les offres cloud, des logiciels aux services gérés, rapporte…

4 semaines ago