📕 Le Règlement général sur la protection des données (RGPD) impacte toutes les entreprises qui utilisent les données des utilisateurs. Il renforce notamment les obligations déjà existantes comme l’obligation d’information sur les données à caractère personnel des utilisateurs que vous traitez.
De plus, l’article 30 du RGPD vient poser une obligation de tenir un registre de traitement s’agissant des activités de responsable et des activités de sous-traitant :
- “Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité” ;
- “Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement”.
Le responsable de traitement et le sous-traitant doivent établir un registre détaillé des traitements mis en œuvre. Ils doivent tenir des registres à la disposition de l’autorité de contrôle (CNIL) qui peut y accéder sur demande.
Cela implique différentes étapes :
- Cartographier les traitements de données personnelles
- Cartographier les sous-traitants et destinataires
- Cartographier les transferts de données hors de l’Union européenne
- Vérifier l’intégrité et la sécurité des données
- Déterminer des finalités claires et légitimes pour les traitements
- Fixer les règles de purge des bases de données
- Mettre en place un registre des traitements
L’outil de registre de traitements proposé par Didomi vous permet en quelques clics d’établir votre registre de traitement. En effet, le Data Protection Officer (ou toute autre personne habilitée) peut créer et éditer des fiches de traitement et avoir ainsi une vue d’ensemble sur les traitements effectués par l’entreprise.
Avec cette solution pratique et simple d’utilisation, vous êtes en conformité avec cette obligation et vous pouvez publier les traitements que vous souhaitez sur votre Privacy Center pour satisfaire à l’obligation d’information. En effet certaines des rubriques présentes dans votre registre correspondent aux informations que vous devez fournir aux utilisateurs dont vous collectez les données (finalité, base légale, sources externes et catégories de données concernées, destinataires et pays et protections appropriées, durée de conservation). Didomi vous permet de relier automatiquement vos fiches de traitement à l’information que vous donnez aux utilisateurs dans votre Privacy center. Vous pouvez publier les traitements que vous souhaitez sur votre Privacy center en quelques clics dans la section « Privacy Center » de la console et donc mettre à jour les informations obligatoires à l’intention des personnes en temps réel.
L’outil comprend des bases de données personnalisables de traitements pré-approuvés par les autorités de protection des données (comme la CNIL) et un workflow simple et rapide pour déclarer et gérer ses traitements, adapté aux débutants comme aux utilisateurs avancés.
🔎 Nous vous conseillons d’établir ou de faire établir chaque fiche de traitement par les services internes concernés de votre société, au plus proche de l’utilisation des données (service RH pour l’utilisation des données des employés, service commercial pour l’utilisation des données des clients, etc.) et de faire revoir, compléter et valider ces traitements par la personne en charge de la protection des données personnelles (par exemple délégué à la protection interne ou externe, service juridique ou avocat).
Cet outil est aussi un moyen de centraliser l’ensemble de vos traitements et d’avoir un registre des traitements facilement accessible et clair.
Il vous aide ainsi dans la conformité aux articles 12 à 14 (information des personnes) et 30 (tenue de registre) du RGPD.
🔎 La solution Didomi ne nécessite aucune intégration préalable. L’outil de gestion de registre des traitements est accessible en ligne (https://console.didomi.io + login utilisateur).