CRÉEZ GRATUITEMENT Registre de traitement des données personnelles RGPD

Vous collectez des données personnelles pour les besoins de votre activité. Assurez vous que ces données personnelles sont bien transcrites dans le registre de traitement des données personnelles, obligatoire depuis l'entrée en vigueur du RGPD (Règlement européen général sur la protection des données).

1. Quand utiliser le document Registre des données personnelles RGPD ?
2. Que contient le Registre des données personnelles RGPD ?
3. Qu'est-ce qu'un registre des données personnelles ?
4. Quand avez-vous besoin de créer un Registre des données personnelles RGPD ? 
5. Qu'est-ce qu'une donnée personnelle ?
6. Qu'est-ce qu'une donnée personnelle sensible ?
7. Quelles sont les mentions obligatoires du registre de traitement des données personnelles ?
8. Quelles sont les obligations du sous-traitant, lorsque le traitement des données est sous-traité ?
9. Quels sont les autres documents rendus obligatoires par le RGPD ?
10. Informations complémentaires

Utilisez ce registre de traitement pour :

• enregistrer correctement votre traitement de données personnelles ;

• être à jour de vos obligations légales et éviter une (lourde) amende.

Ce registre de traitement comprend:

• les catégories de données personnelles que vous collectez ;

• les catégories de personnes dont vous collectez les données ;

• la justification du traitement ;

• les finalités du traitement.

Un registre de traitement est un document dans lequel, en tant que responsable du traitement ou sous-traitant, vous enregistrez le traitement des données personnelles conformes au RGPD. Vous êtes le responsable du traitement si vous êtes celui qui décide pourquoi et comment les données personnelles sont traitées. En tant que sous-traitant, vous traitez des données personnelles pour le compte du responsable du traitement.

Vous avez besoin d'un registre de traitement dès que vous remplissez l'une des conditions suivantes:

• le traitement des données personnelles n'est pas occasionnel ;

• vous traitez des catégories spéciales de données personnelles (telles que les données médicales, les préférences sexuelles ou l'origine ethnique) ;

• votre organisation emploie 250 personnes ou plus ;

• le traitement des données à caractère personnel comporte un risque pour les droits et libertés des personnes concernées.

Si vous remplissez l'une des conditions ci-dessus, vous êtes obligé de disposer d'un registre de traitement. 

Une donnée à caractère personnel désigne toute information concernant une personne physique identifiée ou identifiable ; une personne identifiable est celle qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. Il s’agit par exemple des noms et prénoms, de l’âge, de l’adresse mail, du numéro de téléphone, etc...

Ces informations peuvent donner lieu à l'exercice d'un droit d'accès, de rectification, de suppression et de portabilité des données qui concernent les personnes physiques. Cette possibilité d'accéder à ces données doit être prévue et les personnes qui accèdent à votre site doivent savoir comment s'y prendre pour vous contacter et exercer leurs droits. Ces informations sont prévues dans vos mentions légales et votre politique de confidentialité, ou encore dans vos conditions générales de vente (CGV) ou encore vos conditions générales d'utilisation (CGU).

Les données sensibles sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

En tant que responsable du traitement, vous devez vous conformer à certaines exigences. Le RGPD contient une liste de toutes les données que votre registre de traitement doit contenir:

• le nom et les coordonnées de la personne responsable et du délégué à la protection des données (si disponible)
• les finalités du traitement
• les catégories de données traitées (telles que le nom et l'adresse ou les détails de paiement)
• les catégories de personnes concernées (telles que les clients ou le personnel)
• les catégories de destinataires (à qui les données personnelles seront-elles divulguées)
• les durées de conservation des données personnelles
• des informations sur tout transfert de données personnelles vers des pays en dehors de l'UE
• la manière dont les données personnelles sont sécurisées (telles que le cryptage ou le contrôle d'accès).

Lorsque le traitement des données est sous-traité, le sous-traitant est tenu de répondre à certaines exigences. Le RGPD stipule que le registre de traitement doit contenir les informations suivantes:

• le nom et les coordonnées du sous-traitant, du responsable du traitement et du délégué à la protection des données (le cas échéant) ;
• les catégories de traitement (celles-ci correspondent aux finalités du registre de traitement du responsable du traitement) ;
• des informations sur tout transfert de données personnelles vers des pays en dehors de l'UE ;
• la manière dont les données personnelles sont sécurisées.

Le RGPD rend également obligatoires les documents suivants dès que vous traitez des données personnelles:

• mentions légales et politique de confidentialité ;
• l'avenant en cas de sous-traitance des données ;
• la notification à vos clients en cas de fuite des données ;
• votre politique de cookies.

Si vous avez des questions spécifiques concernant le traitement des données personnelles que vous collectez, n'hésitez pas à poser une question juridique.