Données personnelles : comment remplir le registre ?

Le règlement général de protection des données (RGPD), en vigueur depuis le 25 mai, impose aux entreprises de décrire leurs traitements de données personnelles dans un registre1. Vous ne savez pas comment vous y prendre ? Pas de panique, la FFB vous aide !
11:0013/06/2018
Rédigé par FFB Nationale

Le contenu est réservé à nos adhérents. Pour le consulter

se connecter
revue
Retrouvez ce dossier dans notre revue Batiment Actualité
Batiment Actualité Numéro 10 | Juin 2018
Voir ce numéro >

Existe-il un modèle de registre ?

 

Oui, il existe deux modèles officiels, sous forme de fichiers Excel et Word.

Pour vous aider, la FFB les a préremplis de manière à couvrir la plupart des situations.

 

À vous de choisir la version que vous souhaitez utiliser comme base pour élaborer le registre de votre entreprise.

 

Concrètement, comment je fais ?

 

Le registre se présente ainsi :

  • la première page (cf. modèle Word ci-contre) énonce les informations relatives à vos traitements de données personnelles :
    • les coordonnées de l'entreprise?;
    • éventuellement (ce n'est pas obligatoire pour nos TPE/PME), les coordonnées de votre délégué à la protection des données?;
    • la liste de vos principaux traitements (gestion de la paie, listing de vos clients et prospects, géolocalisation, etc.).
  • Les pages suivantes précisent, au travers de fiches à remplir (cf. modèle Excel), les modalités de chacun des traitements listés en première page. Il faut remplir une fiche par traitement (exemple : une pour la paie, une pour la gestion des ressources humaines...).

Rappel

Qu'est-ce qu'un registre des activités de traitement ?

C'est un document, sous forme de fichier papier ou électronique, qui recense les données personnelles traitées par votre entreprise.

Ce fichier doit être conservé dans l'entreprise et présenté aux représentants de la CNIL en cas de contrôle.

Téléchargez nos modèles de registres

Sur le registre prérempli par la FFB, il vous suffit :

  • de vérifier sur la première page que votre entreprise effectue bien les traitements renseignés par la FFB. Si l'un des traitements figurant dans la liste n'est pas réalisé par votre entreprise, rayez-le et supprimez également la fiche correspondante (ex. : si vous n'avez pas de vidéosurveillance dans votre entreprise, rayez « vidéosurveillance » de la liste et supprimez la fiche détaillant le processus de vidéosurveillance). Ainsi, à ce stade, les fiches que vous avez conservées détaillent des traitements que vous réalisez effectivement dans le cadre de votre activité ? ;
  • d'adapter à votre situation individuelle et de compléter, si besoin est, sur les pages suivantes, les mentions préremplies par la FFB.

 

Quels renseignements faut-il donner dans les fiches du registre ?

 

Description du traitement

 

Vous devrez insérer ici le nom de l'activité de traitement décrite dans la fiche (exemples : gestion des clients et prospects), la référence interne du traitement (la FFB vous propose de les référencer par un numéro) ainsi que les dates de la création et de la dernière mise à jour de la fiche.

 

Acteurs du traitement

 

Il faut nommer les intervenants principaux du traitement :

  • l'identité et les coordonnées du responsable de traitement : dans la plupart des cas, il s'agit de votre entreprise ? ;
  • l'identité et les coordonnées de votre représentant : la FFB recommande de désigner ici la ou les personnes compétentes pour répondre aux éventuelles questions sur le traitement couvert par la fiche, voire pour mettre à jour cette dernière (exemple : votre DRH pour les fiches « gestion de la paie » et « gestion du personnel ») ? ;
  • si vous avez nommé un délégué à la protection des données, son identité et ses coordonnées.

 

Finalités du traitement

 

Il s'agit de l'objet du traitement couvert par la fiche. La FFB a déjà prérempli cette partie. À vous de la compléter si nécessaire.

 

Mesures de sécurité

 

Vous devez décrire ici les mesures de sécurité mises en place pour protéger les données (exemples : antivirus et pare-feu, mots de passe sophistiqués et régulièrement modifiés, sensibilisation du personnel, sauvegarde régulière des données, fichiers papier sensibles mis sous clés ou broyés après utilisation...). Demandez conseil à vos équipes ou à vos prestataires pour renseigner cette partie.

Le « Guide la sécurité des données personnelles » de la CNIL peut aussi vous aider2.

 

Catégories de données concernées

 

Il faut préciser ici quelles sont les données que vous utilisez dans le cadre du traitement couvert par la fiche (ex. : nom, prénom, coordonnées personnelles ou bancaires, etc.) et combien de temps vous les conservez.

La FFB a prérempli cette partie : vous n'avez plus qu'à vérifier que le contenu prérempli correspond à votre situation.

 

Données sensibles

 

La collecte et l'utilisation de certaines données dites « sensibles » peuvent conduire à des discriminations (exemples : données relatives aux opinions politiques, syndicales, religieuses...). Il faut donc préciser si l'activité couverte par la fiche inclut ou non le traitement de ce type de données et combien de temps vous comptez les utiliser. La FFB a prérempli cette partie.

 

Catégories de personnes concernées

 

Vous devez indiquer ici, sans entrer dans le détail, à quelles catégories de personnes appartiennent les données que vous traitez (exemple : pour la gestion des ressources humaines, vous devez juste préciser que les personnes concernées sont les salariés de l'entreprise). La FFB a prérempli cette partie : à vous d'adapter le contenu, si nécessaire.

 

Destinataires

 

Vous devez préciser ici quelles sont les personnes pouvant accéder aux données collectées dans le cadre du traitement (exemples : prestataires, organismes sociaux et fiscaux, services de comptabilité...).La FFB a prérempli cette partie : à vous d'en adapter le contenu à vos besoins.

 

Transferts hors UE

 

Vous devez préciser si les données traitées sont amenées à être transférées en dehors de l'Union européenne. Si vous faites appel à des prestataires pour la réalisation du traitement couvert par la fiche, contactez-les pour obtenir la réponse à cette question.

 

Et si vous n'avez pas encore établi de registre ?

 

Pas de panique : la CNIL a annoncé faire preuve de bienveillance à l'égard des entreprises sur ce point. Vous pouvez toutefois commencer à regarder les modèles préremplis par la FFB et demander de l'aide à votre fédération départementale.

RGPD Attention aux escroqueries

LA CNIL ALERTE les entreprises sur des messages par mail, fax et téléphone les invitant à se mettre en conformité avec le règlement général sur la protection des données (RGPD).

Il s'agit d'une arnaque visant à inciter les destinataires à rappeler un numéro surtaxé et/ou à leur faire signer un engagement frauduleux.

N'Y RÉPONDEZ PAS !

En cas de doute, vous pouvez contacter votre fédération ou la CNIL au 01 53 73 22 22.

  1. Cf. Bâtiment actualité n° 4 du 7 mars 2018.
  2. Cf. Bâtiment actualité n° 7 du 25 avril 2018.

Contenu réservé aux adhérents FFB

  • Profitez aussi de conseils et de soutien

    Des services de qualité, de proximité, avec des experts du Bâtiment qui connaissent vos enjeux métier et vous accompagnent dans votre quotidien d'entrepreneur.

  • Intégrez un réseau de 50 000 entreprises

    La FFB est fière de représenter toutes les entreprises du bâtiment, les 2/3 de nos adhérent(e)s sont des entreprises artisanales.

  • Bénéficiez des dernières informations

    Recevez Bâtiment actualité 2 fois par mois pour anticiper et formez-vous aux évolutions des métiers ou de la législation.

Pour contacter facilement votre fédération et accéder aux prochaines réunions
Se connecter
Vous n'êtes pas adhérent et vous cherchez une information ?
Nous contacter