Qui est concerné ? L'obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu'ils traitent des données personnelles.
Le RGPD, en vigueur depuis le mois de mai 2018, concerne toutes les entreprises et organisations qui recueillent ou utilisent des données à caractère personnel sur des internautes de l'Union européenne.
Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d'un traitement, c'est à dire l'objectif et la façon de le réaliser. En pratique et en général, il s'agit de la personne morale incarnée par son représentant légal.
les catégories de personnes concernées (client, prospect, employé, etc.) les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
Le registre de traitement des données est donc un document permettant le recensement et l'analyse de l'ensemble des données personnelles traitées par une entreprise. Ce document doit refléter la réalité des traitements appliqués.
Un traitement de données de qualité répond à quatre étapes incontournables. Il s'agit dans un premier temps de la collecte des données, du nettoyage de données puis de la structuration des données et enfin de l'analyse des données. C'est la première étape du processus de traitement de données.
Le RGPD est obligatoire dans l'ensemble des 28 états membres depuis le 25 mai 2018. Tous les acteurs ayant recours à des données personnelles doivent se conformer à ce règlement européen.
Toute personne gère ainsi ses propres données de manière autonome et responsable, tandis que les entreprises doivent s'y adapter.
Les données relatives à l'identité (nom, prénom, adresse, photo, date et lieu de naissance, etc.) Les données relatives à la vie personnelle (habitudes de vie, de consommation, loisirs, situation familiale, etc.) Les données relatives à la vie professionnelle (CV, diplômes, formation, fonction, lieu de travail, etc.)
Personne qui doit assumer la responsabilité de quelque chose.
Les obligations du responsable de traitement
Application de mesures organisationnelles et techniques pour sécuriser les données, Coopération avec l'autorité de contrôle, Respect des droits dont disposent les utilisateurs quant à la consultation et à la modification de leurs données.
Votre entreprise/organisation est un responsable conjoint du traitement si elle s'associe à une ou plusieurs organisations pour déterminer conjointement «pourquoi» et «comment» les données à caractère personnel devraient être traitées.
Dans toutes les entreprises de moins de 50 ou 250 salariés dépassant les seuils légaux susmentionnés, l'employeur est tenu à une obligation d'information des salariés dans le cadre de la cession d'un fonds de commerce ou d'une participation majoritaire, c'est-à-dire la cession de parts sociales ou actions d'une société ...
Quand le règlement ne s'applique pas
Ses clients peuvent utiliser ses services lorsqu'ils voyagent dans d'autres pays, y compris au sein de l'UE. À condition que votre entreprise n'adresse pas spécifiquement ses services aux personnes établies au sein de l'UE, elle n'est pas soumise aux règles du RGPD.
Le règlement général de protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l'Union Européenne.
Aujourd'hui, le consommateur est devenu le point focal de la collecte et l'exploitation des données. Des géants comme Google ou Facebook dominent le marché de la publicité ciblée et engrangent des milliards de dollars, notamment grâce à l'émergence des technologies dites de « Big Data ».
L'obligation d'alerte, d'assistance et de conseil
Le sous-traitant, en charge du traitement de données personnelles pour le compte du responsable de traitement (son client), doit être en mesure d'accompagner ce dernier et de le conseiller en matière de bon usage des informations traitées.
Elle peut être effectuée par le biais d'une fiche de renseignements, d'un bordereau d'inscription, d'un formulaire sur un site internet par exemple. L'enregistrement : une fois les données collectées, l'action de les enregistrer dans une base de données, électronique ou non, est un traitement de données.
La déclaration normale est le régime de droit commun en matière de protection des données personnelles. Doivent faire l'objet de déclaration normale tous les traitements de données à caractère personnel autres que ceux dispensés par la loi et ceux portant sur des données sensibles.
La CNIL a le pouvoir d'effectuer des contrôles auprès de l'ensemble des responsables de traitement. Ils peuvent se dérouler sur place, sur pièces, sur audition ou en ligne.
Ce registre liste les activités impliquant un traitement de données ; les modèles de la CNIL distinguent par exemple, des activités telles que : activité 1 : gestion de la paie. activité 2 : gestion des fournisseurs. activité 3 : vente en ligne.