Territoires Conseils

RGPD : qu'est-ce que le registre des traitements ?

Découvrez comment nous collectons, nous utilisons, nous traitons vos données en lisant notre Politique de protection des données à caractère personnel et notre mention d'information complète sur le traitement.

Envoyer à un contact

Vos coordonnées

Coordonnées de votre/vos contact(s)

*Champs obligatoires.

Les données à caractère personnel recueillies à partir du Site sont traitées par la Caisse des Dépôts selon les dispositions légales et réglementaires applicables et conformément à notre Politique de protection des données à caractère personnel, que nous vous recommandons vivement de prendre connaissance à https://www.caissedesdepotsdesterritoires.fr/cs/ContentServer?pagename=Territoires/Page/Donnees-personnelles.
En effet, le document de Politique de protection des données à caractère personnel de la Caisse des Dépôts complète la présente mention d'information.
Les données à caractère personnel collectées via le présent formulaire en ligne sont destinées à être utilisées par la Caisse des Dépôts. Elles seront également rendues accessibles à nos prestataires techniques, pour les stricts besoins de leur mission.
Les données seront collectées et utilisées à des fins de d'information et d'accompagnement des acteurs territoriaux dans le cadre de nos missions d’intérêt public. Les données à caractère personnel sont également utilisées pour mieux vous connaître et nous permettre ainsi de personnaliser notre communication et participer à l'amélioration de nos services.
Lors de ce traitement, un certain nombre de données à caractère personnel sont demandées à la Caisse des Dépôts. La communication des informations identifiées par un astérisque (*) est obligatoire et conditionne le traitement de votre demande. Les réponses aux autres questions sont facultatives.
Vos données sont susceptibles d'être conservées pendant une durée de trois (3) années à compter de leur collecte ou du dernier contact avec nous.

Constat

Depuis l’entrée en vigueur du RGPD, les déclarations et les demandes d’autorisation auprès de la Cnil ne sont plus nécessaires. Toutefois, en cas de contrôle, un organisme doit nécessairement documenter sa mise en conformité avec la réglementation par la création de process internes, et notamment par la production d’un registre des traitements répertoriant tous les traitements de données à caractère personnel effectués en interne.

Réponse

Selon l’article 30 du RGPD, la première mission du DPO, ou du responsable des traitements, est la création d’un registre des traitements des données, par le biais d’un inventaire des traitements des données internes. Pour le cas des données externalisées, l’inventaire s’effectue auprès de l’éditeur du logiciel ou du sous-traitant.
Le RGPD impose uniquement que le registre se présente sous une forme écrite. Le format du registre est libre et peut être constitué au format papier ou électronique. Généralement, un tableau Excel, dont un modèle est disponible sur le site internet de la Cnil, formalise le registre des traitements. Le cabinet, ou l’entreprise, avec qui est sous-traité le traitement des informations peut également proposer ses propres outils.

Le registre du responsable de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme. En pratique, une fiche de registre doit donc être établie pour chacune de ces activités. Ce registre doit comporter le nom et les coordonnées de l’organisme responsable des traitements et du délégué à la protection des données. De plus, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre ;
- les finalités du traitement, l’objectif en vue duquel les données ont été collectées ;
- les catégories de personnes concernées (administrés, agents, etc.) ;
- les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, données de localisation, etc.) ;
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants ;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
- les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.
 

Références : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD).