Les registres de traitement sont des documents qui répertorient les opérations de traitement de données personnelles effectuées par votre entreprise.
Ils vous permettent de garder une trace des données que vous collectez, utilisez et stockez, ainsi que des mesures de protection que vous mettez en œuvre.
Pour chaque activité ou traitement de données que vous identifiez, vous devez remplir une fiche (sous-registre) qui contient les informations suivantes :
- Les acteurs impliqués dans le traitement (responsable, sous-traitant, destinataire, etc.),
- Les catégories de données personnelles traitées (nom, adresse, numéro de sécurité sociale, etc.),
- Le descriptif du risque lié au traitement (atteinte à la vie privée, discrimination, vol d’identité, etc.),
- L’objectif poursuivi ou la finalité du traitement (recrutement, gestion de la paie, formation, etc.),
- Les flux de données (où sont stockées les données ? sur quel support ? dans quel pays ?),
- Les accès aux données (qui peut consulter, modifier ou supprimer les données ?),
- La durée de conservation des données (combien de temps les données sont-elles conservées pour l’usage courant ? et pour l’archivage ?),
- Les données nécessitant la réalisation d’une analyse d’impact (PIA) (données sensibles, données à risque élevé, etc.),
- Les mesures de sécurité mises en place (chiffrement, authentification, sauvegarde, etc.),
- Les actions à entreprendre pour améliorer la conformité au RGPD (information des personnes concernées, recueil du consentement, exercice des droits, etc.).