Pour se mettre en conformité avec le RGPD, le professionnel doit établir un registre qui décrit sa propre politique de protection et de sécurisation des données personnelles pour l’ensemble de ses activités. C’est un document, interne à l’entreprise, destiné à recenser les activités impactées par le RGPD. Ce document offre ainsi une cartographie de tous les traitements de données, en détaillant pour chacun : l’objectif de ce traitement lié à l’activité de l’entreprise, les catégories de données concernées, les actions mises en œuvre pour en garantir la sécurité et la confidentialité. Le niveau d’exigence dépend de la taille de l’entreprise (plus ou moins 250 personnes).

Le contenu du registre

Il est recommandé de faire figurer les informations suivantes :
1. Informations générales sur l’entreprise et ses activités :
• L’identification de l’entreprise et ses coordonnées
• Le nom d’un responsable
• La liste des activités impactées par le RGPD
2. Informations liées à chaque activité recensée :
• L’objectif ou la finalité de l’activité en lien avec l’entreprise
• La liste des données personnelles concernées (état civil, coordonnées et identification, données sensibles, cookies)
• Les différents traitements associés à chaque type de données (objectif du traitement ou usage des données, délai de conservation, mesures de sécurité, etc.)
• Les acteurs, internes ou externes, qui traitent ces données (il faut identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité) ;
• Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.
• Les moyens mis en œuvre pour garantir la protection des données (quelles sont les applications informatiques utilisées, sous-traitants, antivirus, mots de passe, stockage interne ou externe dans le cloud, cryptage des communications, etc.)

Modèle pour établir soi-même un registre des activités

Document proposé par la CNIL (gabarit Word) pour établir soi-même un registre des activités.
(LIRE)



Cet article fait partie
– de la fiche thématique « Le RGPD et les données personnelles »
– du « Guide du solo-entrepreneur francophone aux Pays-Bas »