Disposez-vous d'un registre des traitements de données personnelles (RGPD) ?
En bref — ce que vous devez retenir
Le registre des traitements est l'inventaire de toutes les activités de votre entreprise qui impliquent des données personnelles. C'est une obligation légale RGPD pour la quasi-totalité des entreprises, et le point de départ de toute démarche de conformité.
Glossaire
GDPR — General Data Protection Regulation
Règlement Général sur la Protection des Données
Loi européenne qui encadre la collecte et l'utilisation des données personnelles. Toute entreprise traitant des données de résidents européens doit s'y conformer, sous peine d'amendes.
Toute entreprise qui traite des données personnelles (clients, salariés, prospects, fournisseurs) doit tenir un registre des traitements. Ce document liste pour chaque traitement : la finalité, les données traitées, les personnes concernées, les destinataires, la durée de conservation et les mesures de sécurité.
Sans registre, vous ne pouvez pas répondre à une demande d'accès RGPD d'un client, ni démontrer votre conformité à la CNIL lors d'un contrôle. Les amendes pour absence de registre peuvent atteindre 2 % du CA mondial (article 83 RGPD).
Contrôle CNIL suite à une plainte client. Le salon ne disposait pas de registre des traitements malgré une base de données de 2 000 clients. Mise en demeure avec obligation de mise en conformité sous 3 mois. Non-respect = amende jusqu'à 20 M€ ou 4 % du CA.
"On croyait que le RGPD ne concernait que les grandes entreprises. La CNIL nous a rappelé que même une boutique avec 500 adresses email clients devait tenir un registre. On a passé un week-end à tout formaliser."
Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.