RGPD : Comment tenir un registre des activités de traitement ?

le RGPD a quasiment supprimé toutes les obligations déclaratives à la charge des adhérents FFB. En contrepartie, ces derniers et leurs sous-traitants devront répertorier les traitements mis en œuvre dans un registre des activités de traitement et le tenir à jour. Le registre peut être fait sous format électronique ou papier et doit être tenu à disposition de la CNIL en cas de contrôle.
17:2711/02/2018
Rédigé par FFB Nationale

Le contenu est réservé à nos adhérents. Pour le consulter

se connecter
  • Trame pour un registre simplifié
    rtf
    613,26 KB
    11 février 2018

Quelles sont les étapes d’élaboration du registre des activités de traitement ?

 

Les étapes de la mise en œuvre d'un registre des activités de traitement des données personnelles sont les suivantes :

  1. Réaliser un audit des traitements mis en œuvre au sein de votre entreprise ;
  2. Élaborer un modèle de registre ;
  3. Déterminer en interne les modalités de remplissage du registre. Qui ? Quand ? Comment ?
  4. Remplir le registre en fonction des informations obtenues dans le cadre du point 1 ;
  5. Mettre à jour régulièrement le registre  : modification d’un traitement existant ou ajout d’un nouveau traitement.

 

Les petites structures sont-elles exemptées de tenir le registre des activités de traitement ?

 

Le RGPD prévoit que la tenue du registre n’est pas obligatoire pour les entreprises ou organisations de moins de 250 salariés.

 

Cependant, cette exemption n’en est pas vraiment une puisqu’elle ne s’applique pas :

  • aux traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées.
  • aux traitements portant sur des données sensibles (race, opinions religieuses, politiques, syndicales, vie et orientation sexuelle, santé, etc.).
  • aux traitements qui ne sont pas occasionnels.

 

Si vous n'avez pas forcément l’occasion de mettre en place des traitements des types 1 et 2, il est quasiment inévitable que certains de vos traitements actuels ou futurs seront amenés à durer et, donc, à faire partie de la catégorie 3 (par exemple : vidéosurveillance, gestion des ressources humaines, des adhérents, des fournisseurs, des prospects).

 

Les adhérents de moins de 250 salariés ne pourront donc pas, sauf à prouver que les traitements mis en œuvre sont occasionnels, s’exempter de la tenue d’un registre des activités de traitement.

 

Est-il nécessaire d’inscrire l’intégralité des traitements mis en œuvre au sein de la structure ?

 

Bien que les contours de cette obligation soient obscurs, il est recommandé d’inscrire, dans la limite du possible, l’ensemble des traitements dont vous avez connaissance dans le cadre de l’audit, et ce pour les raisons suivantes :

  • cela permet de savoir, à tout moment, quels sont les traitements réalisés au sein de la structure ;
  • les informations insérées permettront de répondre à la CNIL en cas de contrôle ;
  • La survenance de difficultés dans le remplissage du registre vous aidera à identifier d’éventuelles carences organisationnelles, juridiques et techniques.

 

Quel est le contenu du registre ?

Registre du responsable du traitement

 Registre d'un sous-traitant
Nom et coordonnées du responsable de traitement ou de son représentant et de son délégué à la protection des données.


 Nom et coordonnées du sous-traitant ou de son représentant et de son délégué à la protection des données. 
  Nom et coordonnées du ou des responsables de traitement et de leur représentant
Finalité du traitement Catégories de traitements 
Catégories de personnes concernées : clients, employés, membres adhérents...  
Catégories de destinataires des données personnelles : personnes, services internes, sous-traitants, partenaires commerciaux...  
Tranferts des données en dehors de l'Union européenne et attestation de l'existence de garanties appropriées
Durée de conservation des données  
Description générale des mesures de sécurité techniques et organisationnelles mises en œuvre dans le cadre du traitement (privacy by design*)
* Privacy by design : Protection intégrée de la vie privée (PIVP), aussi appelée "respect de la vie privée dès la conception".

Pour tout savoir sur la RGPD

  • Trame pour un registre détaillé
    xlsx
    136,89 KB
    11 février 2018

Contenu réservé aux adhérents FFB

  • Profitez aussi de conseils et de soutien

    Des services de qualité, de proximité, avec des experts du Bâtiment qui connaissent vos enjeux métier et vous accompagnent dans votre quotidien d'entrepreneur.

  • Intégrez un réseau de 50 000 entreprises

    La FFB est fière de représenter toutes les entreprises du bâtiment, les 2/3 de nos adhérent(e)s sont des entreprises artisanales.

  • Bénéficiez des dernières informations

    Recevez Bâtiment actualité 2 fois par mois pour anticiper et formez-vous aux évolutions des métiers ou de la législation.

Pour contacter facilement votre fédération et accéder aux prochaines réunions
Se connecter
Vous n'êtes pas adhérent et vous cherchez une information ?
Nous contacter