En quelques mots
De quoi parle-t-on ?
REGISTRE DES ACTIVITES DE TRAITEMENT = DOCUMENT UNIQUE
Le registre des activités de traitement côté RGPD peut être comparé au document unique en santé et sécurité au travail (SST). Tout comme ce dernier recense et évalue les risques professionnels pour garantir la protection des employés, le registre des activités de traitement recense et analyse les traitements de données personnelles afin d’assurer leur conformité et leur protection. Ces deux outils, bien que dédiés à des domaines différents, partagent un objectif commun : structurer, organiser et sécuriser les pratiques pour se conformer aux obligations légales et protéger les parties.
Le Règlement Général sur la Protection des Données (RGPD) est une législation européenne absolument cruciale pour mieux protéger la vie privée des citoyens de l’Union européenne.
En vigueur depuis mai 2018, ce règlement établit des règles strictes sur la manière dont les données personnelles peuvent être collectées, traitées et stockées par les entreprises.
L’objectif du RGPD est de donner aux personnes un meilleur contrôle sur leurs données personnelles, garantissant qu’elles soient traitées de façon transparente et sécurisée.
Le RGPD impose également des sanctions sévères aux entreprises qui ne respectent pas ces règles, soulignant ainsi l’importance de la protection des données.
Règlement
Article 30 du Règlement Général sur la Protection des Données
Registre des activités de traitement :
1- Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes :
un) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
b) les finalités du traitement ;
c) une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;
f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
Etre en conformité RGPD c’est quoi concrètement ?
Les idées reçues
Justin Barrage
Castorama
« Je suis en conformité RGPD car mon entreprise a un logiciel ultra sécurisé«
FAUX
Cela reviendrait à dire « je suis en conformité car mes extincteurs sont existants et contrôlés une fois par an ». C’est une action de prévention pertinente qui sera intégrée dans la famille de risque incendie du Document Unique mais mettre en place des extincteurs n’est pas rédiger son document unique.
De la même manière, disposer d’un super logiciel sécurisé constituera une action de prévention pertinente qui sera intégré dans les registres de traitement concernés.
On se met donc en conformité avec le RGPD en commençant par rédiger ses registres de traitement.
Robert Grosbois
La scierie de la rivière
« Je ne suis pas concerné par le RGPD car je n’utilise pas l’informatique«
FAUX
Une feuille de papier comme un document WORD constitue un support sur lesquelles peuvent figurer des données personnelles. Que vous écriviez des noms de personnes physique sur l’un ou l’autre de ses supports ne changera rien, vous manipulez des données personnelles et à ce titre, vous devez les protéger. On protègera un fichier WORD par un mot de passe comme on protègera une feuille de papier par la serrure d’un tiroir.
Se mettre en conformité RGPD commence donc par la rédaction des registres de traitement qui constituent l’équivalent du Document Unique en Santé et Sécurité au Travail.
Quels sont les risques ?
La CNIL, autorité compétente en matière de protection des données personnelles et de conformité au RGPD
À l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL ou son président peuvent prononcer des sanctions à l’égard des responsables de traitements qui ne respecteraient pas ces textes.
Procédure ordinaire
Concernant la procédure ordinaire, avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Formation restreinte de la CNIL
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
Procédure simplifiée
La loi Informatique et Libertés prévoit des sanctions moins nombreuses et moins sévères que celles encourues dans la procédure ordinaire. Ces sanctions ne peuvent par ailleurs jamais être rendues publiques.
Dans ce cadre, le président de la formation restreinte peut :
Notre prestation en images
Nos atouts
echanges clairs et compréhensibles
Nous échangeons avec vous de façon claire et accessible pour recueillir les informations nécessaires. Pas de jargon compliqué : nous vous expliquons chaque point simplement, afin que vous compreniez parfaitement votre registre de traitement. Ensuite, nous rédigeons le document pour vous, en veillant à ce qu’il soit conforme et facile à suivre.
prestation complète
Nous vous fournissons une série de documents en annexe qui vous aideront à gérer vous mettre en conformité concrètement avec le RGPD (recommandations de la CNIL sur la complexité des mots de passe, charte de sensibilisation des utilisateurs de téléphones portables et tablettes, charte de sensibilisation sur les cyberattaques, autres modèles divers, etc…).
fondée sur la doctrine de la cnil
Prestation conçue avec une intégration directe des mesures de prévention issues des 17 fiches du guide de la sécurité des données personnelles de la CNIL pour vous garantir une conformité optimale et adaptée à votre activité. De plus, nous réalisons une veille juridique constante afin de rester en phase avec les évolutions et exigences de la CNIL.
accompagnement après prestation
Nous incluons une assistance juridique et technique illimitée sur vos documents pendant 3 mois. Cette assistance a pour objectif principal d’affiner vos documents, et de répondre à vos questions afin que vous puissiez les utiliser en toute sérénité. Nous vous accompagnons dans leur prise en main pour qu’ils soient parfaitement adaptés à votre activité.