Protection des données personnelles : il faut tenir un registre des activités de traitement

Jusqu'à présent, pour respecter la législation sur les données personnelles, vous deviez déclarer à la CNIL vos différents fichiers et dispositifs (prospection, bases clients, vidéosurveillance, géolocalisation...) et informer les intéressés (salariés, clients, prospects...) leur droit d'accès, de rectification ou de suppression de leurs données. À compter du 25 mai, ces formalités administratives seront supprimées. En contrepartie, un règlement européen (RGPD) impose aux entreprises, à cette même date, de tenir un registre de leurs traitements de données personnelles.
11:0007/03/2018
Rédigé par FFB Nationale

Le contenu est réservé à nos adhérents. Pour le consulter

se connecter
revue
Retrouvez ce dossier dans notre revue Batiment Actualité
Batiment Actualité Numéro 4 | Mars 2018
Voir ce numéro >

Qu'est-ce qu'un registre des activités de traitement?

C'est un fichier — papier ou électronique — dans lequel les entreprises doivent répertorier, à compter du 25 mai prochain, leurs traitements de données personnelles.

Ce fichier doit être tenu à la disposition de la CNIL (Commission nationale de l'informatique et des libertés) en cas de contrôle.

Que faut-il mettre dans le registre?

  • L'identité et les coordonnées de votre entreprise ;
  • l'identité et les coordonnées de votre délégué à la protection des données (DPO, si vous en avez nommé un 1) ;
  • les catégories de personnes dont vous collectez les données (vos clients, salariés, fournisseurs, prospects...) ;
  • les catégories de données personnelles collectées (nom, prénom, coordonnées postales et téléphoniques, données bancaires, adresse électronique, habitudes de consommation...) ;
  • l'usage que vous comptez faire des données (finalités poursuivies) : pour vous aider, une liste des finalités les plus courantes est disponible sur le site de votre fédération ;
  • les destinataires des données collectées (vos employés, vos prestataires, les autorités publiques, vos partenaires commerciaux...) ;
  • la durée de conservation des données ;
  • une description générale des mesures de sécurité mises en œuvre afin de protéger les données ;
  • enfin, si vous êtes concerné, les transferts de données personnelles en dehors de l'Union européenne (possibles si votre hébergeur ou vos prestataires informatiques ne sont pas basés dans l'Union européenne) et les garanties prises pour assurer la protection des données.

Les TPE-PME sont-elles aussi concernées par ce registre?

Oui. Le RGPD impose aux entreprises ou organisations de moins de 250 salariés d'inscrire dans un registre tous leurs traitements qui ne seraient pas occasionnels.

Certains de vos fichiers — actuels ou futurs — étant amenés à durer dans le temps (vidéosurveillance, gestion des ressources humaines, des fournisseurs, des prospects...), vous devrez nécessairement les mentionner dans un registre.

Compte tenu des risques d'interprétation extensive des dispositions du RGPD par la CNIL, nous vous recommandons de tenir un registre de vos activités de traitement (même si votre entreprise compte moins de 250 salariés).

Faut-il inscrire dans ce registre l'intégralité de vos traitements de données personnelles?

Oui. C'est fortement conseillé, car :

  • cela permet de savoir, à tout moment, quels sont les traitements réalisés au sein de votre entreprise et de répondre à la CNIL en cas de contrôle ;
  • en cas de difficultés dans le remplissage du registre, cela vous aidera à identifier d'éventuelles carences organisationnelles, juridiques ou techniques.

Existe-il un modèle de registre?

Oui. Il est disponible, en version Excel, sur le site de la CNIL.

La FFB élabore également un modèle prérempli afin de faciliter vos démarches. Vous le retrouverez prochainement dans l'espace adhérent du site de la fédération.

Les 5 étapes pour élaborer le registre des activités de traitement

  • Recenser les traitements mis en œuvre au sein de votre entreprise (voir liste des traitements les plus courants disponibles sur le site de votre fédération).
  • Élaborer un modèle de registre (voir modèle CNIL).
  • Déterminer en interne les modalités de remplissage du registre (qui ? quand ? comment ?)
  • Remplir le registre en fonction des informations obtenues.
  • Mettre à jour régulièrement le registre (ajout ou modification d'un traitement).

Mise en conformité RGPD

Des tentatives d’escroquerie sont en cours !
LA CNIL ALERTE . Il s’agit d’une arnaque visant à inciter les destinataires à rappeler un numéro surtaxé et/ou à leur faire signer un engagement frauduleux.

N’Y RÉPONDEZ PAS !

  1. Un DPO est un expert des questions liées aux données personnelles et dont la mission est d'assister l'entreprise qui l'a désigné à demeurer en conformité avec la réglementation. Il peut s'agir d'un salarié de l'entreprise ou d'un prestataire externe (avocat, expert, etc.). Une présentation plus détaillée du rôle du DPO vous sera proposée dans un prochain numéro.

Contenu réservé aux adhérents FFB

  • Profitez aussi de conseils et de soutien

    Des services de qualité, de proximité, avec des experts du Bâtiment qui connaissent vos enjeux métier et vous accompagnent dans votre quotidien d'entrepreneur.

  • Intégrez un réseau de 50 000 entreprises

    La FFB est fière de représenter toutes les entreprises du bâtiment, les 2/3 de nos adhérent(e)s sont des entreprises artisanales.

  • Bénéficiez des dernières informations

    Recevez Bâtiment actualité 2 fois par mois pour anticiper et formez-vous aux évolutions des métiers ou de la législation.

Pour contacter facilement votre fédération et accéder aux prochaines réunions
Se connecter
Vous n'êtes pas adhérent et vous cherchez une information ?
Nous contacter