Dans la lignée du guide pratique de mise en place du RGPD (Règlement Général sur la Protection des Données) pour les TPE/PME conçu par la CNIL et Bpifrance, la Commission Nationale de l'Informatique et des Libertés (nouveau partenaire de l'initiative France Num) propose en téléchargement gratuit un modèle de registre des activités de traitement, destiné à simplifier sa prise en main et sa mise à jour par ces mêmes TPE/PME.

Une obligation qui concerne la grande majorité des organisations

La constitution et la mise à jour d’un registre est une obligation prévue à l’article 30 du RGPD. Ceci s’applique à tous les organisations qui traitent des données personnelles de façon régulière dans le cadre de leurs activités.

Le registre des traitements doit permettre d’identifier avec précision :

•     les parties prenantes intervenant dans le traitement des données,
•     les catégories de données traitées,
•     à quoi servent ces données,
•     qui y accède et à qui elles sont communiquées,
•     combien de temps elles sont conservées,
•     comment elles sont sécurisées.

Pour les sous-traitants qui gèrent des données personnelles pour le compte d’une autre organisation, le RGPD prévoit ausssi la tenue d’un registre et sa mise à jour. Celui-ci doit comprendre notamment la liste des activités réalisées pour le compte de leurs clients.

Etre en conformité et maîtriser son patrimoine de données personnelles

Il y a certes l’obligation légale mais la tenue du registre permet également de recenser, comprendre et maîtriser son "capital" de données personnelles. Sa création et sa mise à jour sont l’occasion de se poser les bonnes questions et de limiter les risques concernant le RGPD. C'est donc une étape essentielle pour respecter les obligations du RGPD, qui permettra d'enclencher un plan d’action de mise en conformité aux règles de protection des données.

Enrichi d’infos complémentaires, il peut constituer un outil de pilotage de la conformité au RGPD pour la TPE/PME.

Des modèles pour rendre la tenue du registre plus facile

Pour faciliter la constitution et la mise à jour de ce registre, la CNIL propose un modèle de registre de base (aux formats RTF et PDF ci-dessous), destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier pour les TPE/PME, associations, petites collectivités...

La CNIL indique que ce modèle fera l’objet d’améliorations afin notamment de prendre en compte les retours d’expériences des usagers et des réseaux professionnels utilisés.

A noter qu'un mode d'emploi sur le registre des activités de traitement est aussi fourni par la CNIL. Voir le lien ci-dessous.