Un Registre de traitement (aussi Registre des activités de traitement, VVT) sert à démontrer la conformité de la protection des données et à TransparenceLe répertoire doit permettre d'établir une Autorité de surveillance de reconnaître rapidement si une entreprise travaille en conformité avec la protection des données. Dans ce qui suit, nous répondons de manière pratique aux questions les plus importantes sur la protection des données. Registre de traitement.
Qu'est-ce qu'un Registre de traitement?
Un Registre de traitement est un aperçu écrit de toutes les procédures d'une entreprise pour lesquelles données à caractère personnel sont traités. Conformément à l'article 30 RGPD il contient des informations essentielles sur chaque traitement de données, telles que la finalité, les catégories de personnes et de données concernées, les destinataires, etc. et doit être présenté dans son intégralité à l'autorité de contrôle de la protection des données sur demande.
Qui a besoin d'un Registre de traitement?
En principe, chaque entreprise ou chaque responsable Poste qui données à caractère personnel traité, un Registre de traitement ainsi que tout sous-traitant (prestataire de services).. Le site RGPD s'applique à tous les responsables du traitement et sous-traitants de l'UE (ou traitant des données liées à l'UE), indépendamment du secteur ou de la taille. Même les entreprises individuelles ou les associations doivent tenir un VVT si elles ne le font pas de manière purement occasionnelle. données à caractère personnel Les enfants doivent être en mesure de traiter les informations, ce qui est presque toujours le cas à l'heure actuelle.
Exceptions : Le site RGPD prévoit à l'article 30, paragraphe 5, quelques exceptions étroites pour les entreprises de moins de 250 employés. Pas de Registre de traitement est exceptionnellement nécessaire, si toutes les conditions sont remplies:
- Occasionnel Traitement: le traitement des données n'est qu'occasionnel, c'est-à-dire qu'il n'est pas effectué régulièrement dans le cadre des activités quotidiennes (un critère qui ne s'applique guère dans la pratique, car même les petites entreprises traitent régulièrement des données relatives aux clients, aux employés ou au site web)
- Aucun risque pour Personnes concernées: Le site Traitement ne comporte pas de risque pour les droits et libertés des personnes concernées (difficile à garantir dans la pratique).
- Pas de données sensibles : Aucune catégorie particulière de données à caractère personnel au sens de l'article 9, paragraphe 1, n'est collectée. RGPD (par exemple Données de santé) et aucune donnée sur les condamnations pénales au sens de l'art. 10 RGPD est traité.
Attention ! Cette dérogation s'applique aussi bien que jamais. En effet, la tenue d'un fichier clients, d'une liste de collaborateurs, d'un site web avec formulaire de contact ou la gestion des salaires impliquent déjà des tâches régulières. Traitement des données à caractère personnel. Dans la pratique, il convient donc même les petites entreprises un Registre de traitement d'autant plus qu'il s'agit d'une exigence centrale de l'obligation de rendre compte du RGPD. Les autorités de contrôle considèrent le VVT comme Axe de vérification : S'il manque ou est incomplet, les conséquences risquent d'être lourdes.
Quand un Registre de traitement être créé ?
L'obligation d'établir un tel document existe dès qu'une entreprise commence son activité, données à caractère personnel à traiter. Avec l'entrée en vigueur de la RGPD le 25 mai 2018, le Registre de traitement pour responsable sont obligatoires. En pratique, cela signifie une inscription correspondante dans le VVT devrait être effectuée avant le début ou au moins en même temps que le début d'un nouveau traitement de données. Une entreprise devrait donc au plus tard lors du démarrage de son activité ou de l'introduction d'un nouveau processus (p. ex. nouveau système CRM, nouvelle gestion des collaborateurs), créer le répertoire et désormais gérer et mettre à jour en permanence.
Le site Documentation doit être en cours être mises à jour : Les entrées obsolètes doivent être supprimées et les nouvelles opérations de traitement doivent être ajoutées en temps utile. Le registre doit toujours être à jour, car l'autorité n'accordera pas de long délai en cas d'audit. Elle s'attend à ce qu'un actuel Registre de traitement est disponible à tout moment. Indépendamment de l'obligation légale, il est dans l'intérêt de chaque entreprise de tenir un VVT dès le début : Il donne une vue d'ensemble de tous les traitements de données et prouve en cas d'urgence la conformité au RGPD vis-à-vis des autorités de surveillance ou en cas de plainte.
Que sont les activités de traitement selon RGPD?
Le terme d'activité de traitement désigne en fait toute activité ou tout processus au sein de l'entreprise qui données à caractère personnel comprend les activités. Le site RGPD définit "Traitement" très large : de la collecte à l'effacement des données en passant par leur stockage. Ainsi, toutes les opérations impliquant des données à caractère personnel sont considérées comme du traitement de données. Par exemple, la saisie de données clients, la gestion d'une base de données fournisseurs, la tenue de dossiers de collaborateurs ou l'utilisation de logiciels de gestion des données. Vidéosurveillance.
Une activité de traitement au sens du registre regroupe toutes les opérations de traitement associées dans un but précis. En d'autres termes, on regroupe les différentes étapes de traitement des données en un processus, pour autant qu'elles servent la même finalité. Par exemple, la gestion du personnel peut être documentée dans son ensemble en tant qu'activité de traitement unique (avec les sous-processus "embauche", "gestion des salaires", "gestion des congés", etc. Dans les grandes entreprises, on procédera à des subdivisions plus détaillées, par exemple des activités de traitement distinctes pour la gestion des candidats, la gestion des salariés et la gestion des salaires. Ce qui est déterminant, c'est le Finalité du traitementTous les processus qui servent une finalité commune constituent une activité de traitement dans le registre. S'y ajoutent, le cas échéant, des activités de traitement que l'entreprise en tant que sous-traitant pour Troisième de l'entreprise. Ceux-ci doivent également être mentionnés dans leur propre VVT.
A quoi ressemble un Registre de traitement de ?
Pour le Registre de traitement il n'y a pas de condition de forme stricte. Il peut par exemple être tenu sous forme de tableau, de document Word, de liste Excel ou dans un logiciel. L'important est que toutes les informations obligatoires prescrites par la loi conformément à l'art. 30 RGPD et que la liste est compréhensible en soi. Le site Autorité de surveillance doit pouvoir examiner le document sans avoir à poser de questions. Une forme numérique et consultable est recommandée pour des raisons pratiques.
Quelles informations doivent figurer dans le VVT ?
Contenu le registre doit contenir au moins les informations suivantes pour chaque activité de traitement :
- Nom et coordonnées du responsable (entreprise) et, le cas échéant, du délégué à la protection des données. Dans le cas des sous-traitants, il convient plutôt d'indiquer le nom du sous-traitant et de tous les donneurs d'ordre (clients).
- But de la Traitement. Dans quel but les données sont-elles traitées ? (p. ex. gestion du personnel, suivi de la clientèle, mailing publicitaire)
- Description des catégories de personnes concernées et des données à caractère personnel. ) et quelles catégories de données (par exemple, données de contact, données contractuelles, etc, Données de santé etc.) sont traitées.
- Catégories de destinataires. Qui reçoit les données ? (en interne, par exemple les départements, en externe, par exemple les conseillers fiscaux, les prestataires de services informatiques, les autorités)
- les transferts vers des pays tiers. Si des données sont transférées en dehors de l'UE, il convient de l'indiquer, y compris des garanties correspondantes prévues au chapitre V RGPD (par exemple Clauses contractuelles types en cas de transfert vers les États-Unis).
- Délais prévus pour la Suppression. Dans la mesure du possible, la durée de conservation ou les délais de suppression des catégories de données devraient être mentionnés (par exemple, les données de candidature sont supprimées 6 mois après le refus, les documents contractuels sont archivés 10 ans après la fin de l'année).
- Description générale des mesures techniques et organisationnelles (TOM) pour protéger les données. Il suffit ici d'une présentation générale des mesures de sécurité des données (par exemple, contrôles d'accès, restrictions d'accès, Cryptage), car les concepts détaillés peuvent éventuellement exister séparément.
Conseil pratique : Un exemple de tableau ou de modèle pour un Registre de traitement vous trouverez par exemple sur les sites web de Conférence sur la protection des données ou de votre responsable national de la protection des données. Alternativement, nous proposons des outils spécialisés comme Ailance RoPA des masques structurés pour toutes les données obligatoires.
Conseil de lien : Remarques de la Conférence sur la protection des données vers le site Registre des activités de traitement, art. 30 RGPD
Quelle est la différence entre un registre de traitement et un registre de procédures ?
Aujourd'hui, ces termes sont souvent utilisés comme synonymes. "registre des procédures" est un terme obsolète de l'ancien Loi fédérale sur la protection des données (ancienne BDSG) - avant l'entrée en vigueur de la RGPD les entreprises devaient tenir un registre public des procédures. Toutefois, le contenu de cette obligation était largement identique : un aperçu des procédures de traitement des données au sein de l'organisme responsable. La différence réside donc principalement dans le contexte juridique : Sous la RGPD on parle de Registre des activités de traitement (§ art. 30 RGPD) et il sert à rendre des comptes en interne à l'autorité de contrôle. Auparavant, le registre des procédures était en partie accessible au public. Selon l'ancienne situation juridique, il fallait responsable Les organismes doivent mettre les informations du registre des procédures à la disposition de toute personne qui en fait la demande. Aujourd'hui, cette obligation de publication n'existe plus, mais il existe une obligation de documentation interne plus stricte (en cas de violation, des amendes sont prévues). En conclusion, il existe aucune différence sur le fond, uniquement la terminologie : le Registre de traitement correspond à l'ancien registre des procédures.
Quelles sont les sanctions en cas d'absence Registre de traitement?
La tenue d'un registre de traitement est une obligation légale. Les entreprises qui ne peuvent pas fournir de registre ou qui en tiennent un incomplet risquent de se voir infliger des amendes considérables. Selon l'art. 83 al. 4 a RGPD peut être un Violation avec jusqu'à 10 millions € ou 2 % du chiffre d'affaires annuel mondial peuvent être sanctionnés. Certes, les autorités de contrôle exploitent rarement ce cadre pour les petites entreprises et tiennent compte des intérêts des PME (considérant 13). Néanmoins, on connaît déjà des cas où de lourdes sanctions ont été infligées. En 2021, par exemple, une entreprise italienne a été Amende de 800.000 euros pour une entreprise qui n'avait pas Registre de traitement et que la gestion des données était "chaotique". En Allemagne également, des avertissements et des menaces d'amende ont déjà été prononcés par les autorités régionales de protection des données, notamment lors d'audits dans le secteur de la santé et des boutiques en ligne.
Outre les amendes, sans VVT, le risque de ne pas avoir de preuve de décharge en cas d'infraction à la protection des données est plus élevé. Une gestion propre Registre de traitement peut, en cas d'urgence, servir de moyen de preuve important pour démontrer à l'autorité de surveillance ou aux tribunaux que l'on a fait son travail. Conformité à justifier.
Créer un VVT numérique : Avec Ailance ROPA, la sécurité est assurée
Dans la pratique, de nombreuses entreprises commencent leur VVT avec des modèles Excel ou Word. Mais c'est justement pour répondre à des exigences croissantes qu'il vaut la peine de Utilisation de logiciels spécialisés dans la protection des données. Un exemple est Ailance™ RoPA de 2B Advice : une solution logicielle qui permet d'éviter les Registre des activités de traitement confortable créer et entretenir numériquement laisse.
Avec Ailance™ RoPA, vous automatisez le Registre de traitementLes utilisateurs peuvent ainsi réduire les tâches manuelles et bénéficier d'un reporting intelligent. Le logiciel a été développé par des experts en protection des données et s'adapte de manière flexible aux besoins individuels des entreprises.
En savoir plus sur Ailance™ RoPA
Exemples tirés de la pratique : Un délégué externe à la protection des données s'occupe de cinq entreprises de taille moyenne. Au lieu de gérer cinq listes Excel séparées, il gère les VVT de manière multi-clients dans Ailance RoPA, se fait notifier automatiquement des nouvelles activités de traitement et génère des preuves documentaires pour la surveillance en appuyant sur un bouton.
Pour les responsables de la protection des données qui s'occupent de plusieurs entreprises, Ailance RoPA offre également une capacité multi-clients et des fonctions de collaboration pour travailler efficacement sur le VVT avec différents services ou partenaires externes.
Exemple tiré de la pratique : Une entreprise mondiale du secteur automobile, avec des sites de production et des chaînes d'approvisionnement dans plus de 30 pays, doit se conformer à diverses exigences légales et réglementaires. Entre-temps, plus de 1.000 utilisateurs dans plus de 350 business units travaillent avec Ailance™ Ropa au sein du groupe. Au sein du groupe, bien plus de 10 000 traitements sont gérés automatiquement.
Conclusion : Qu'il s'agisse d'une petite startup ou d'une grande entreprise, le Registre de traitement est et reste l'instrument central pour Protection des données et Transparence. Avec les bases et les outils expliqués ci-dessus (jusqu'aux outils professionnels tels que Ailance RoPA), les entreprises sont en sécurité pour gérer leur Registre des activités de traitement conforme au RGPD, à jour et efficace. Ainsi, non seulement vous répondez aux exigences légales, mais vous créez également en interne Transparence sur vos traitements de données et renforcent la confiance des clients et des collaborateurs dans la protection des données.
German 
English 
Italian 
French