Le registre de données, également appelé Inventaire des données, Cartographie des données personnelles, Registre des traitements, Registre des logiciels et Index des données, doit être tenu par le responsable du traitement ou le DPO et du contrôle des données de l’entreprise. Bien qu’un nouveau registre conforme au loi RGPD semble initialement déroutant, il existe un certain nombre de moyens de s’assurer qu’il est mis en place et maintenu facilement.
Que faut-il consigner dans un registre de données ?
Essentiellement, le nouveau registre doit détailler les raisons pour lesquelles une entreprise traite des données. Il doit inclure les catégories de personnes concernées et de données à caractère personnel, ainsi que les catégories de destinataires (le cas échéant), les délais techniques et les descriptions des processus organisationnels.
Les destinataires de ces données, en dehors des autorités de régulation des données, sont définis comme des personnes physiques ou morales auxquelles des données à caractère personnel sont communiquées, qu’il s’agisse de tiers ou non. La seule exception à cette règle est constituée par les autorités publiques qui reçoivent des données à caractère personnel conformément au droit de l’UE ou des États membres, qui ne doivent pas être considérées comme des destinataires. C’est en gardant à l’esprit ces règles fondamentales que votre registre peut être construit.
Est-il facile de créer un registre ?
Il n’existe pas de modèle fixe sur lequel le registre doit se baser, laissant les entreprises choisir le format qu’elles préfèrent, le registre étant enregistré soit sous forme numérique, soit sur papier. Le RGPD n’exige pas non plus que les données soient enregistrées dans une langue particulière. Les autorités locales de régulation des données peuvent avoir une préférence quant à la langue, mais celle-ci ne sera pas appliquée par les nouvelles législations du RGPD. Les entreprises peuvent également adapter les registres actuels sur des index de données préexistants, ou des logiciels de registre des actifs, pour construire le registre de données.
Comment tenir un registre de données ?
En utilisant des logiciels actuels utiles et pratiques pour l’entreprise, le processus sera simplifié. Les personnes extérieures à l’organisation devraient pouvoir naviguer facilement dans le registre, de sorte que les propriétaires des données devraient veiller à ce que celui-ci reste clair pour toutes les parties.
Les équipes chargées des ressources humaines et de la paie doivent mettre ces données à jour fréquemment, avec des révisions et des validations annuelles. En ajoutant autant d’informations que possible, y compris le propriétaire des informations, l’emplacement physique des fichiers/données et les informations sur les applications informatiques. Ce faisant, si les autorités responsables des données demandent à voir le registre, les organisations pourront démontrer en détail comment toutes les données sont gérées et traitées.
En incluant à la fois les obligations légales et des informations organisationnelles supplémentaires dans le registre, le traitement de l’entreprise garantit non seulement que le registre des données est conforme au RGPD, mais aussi qu’il fournit une carte des données. Il garantit également qu’il est facile à tenir à jour à long terme, car la direction et les destinataires savent clairement à quoi il sert et pourquoi les données sont enregistrées.
Un autre élément à connaître dans le domaine administratif des entreprises sont les clauses rgpd, on vous explique tout dans un prochain article.
Pour en savoir plus sur la protection des données personnelles et la conformité au RGPD, consultez notre page dédiée à : Avocat RGPD.