Registre des traitements

Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité. Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément : les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données, les catégories de données traitées, à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées, combien de temps vous les conservez, comment elles sont sécurisées. Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD. Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc. Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Cette étape essentielle vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données. La CNIL présente ici les éléments essentiels relatifs au registre et propose également un modèle de base répondant aux conditions posées par le RGPD.