QU’EST CE QU’UN REGISTRE DE TRAITEMENT DES DONNEES ET COMMENT LE CREER ?

360 conseils, Non classé

L’article 435 du Code du Numérique rend obligatoire l’utilisation d’un registre des activités de traitement permettant aux entreprises de recenser les actions qu’ils appliquent à leurs données informatiques. Ainsi, chaque organisme ou entreprise dispose d’une vue globale de l’utilisation des données personnelles qu’il collecte

Outil de pilotage primordial

Le registre de traitement des données est un document qui recense et analyse toutes les données personnelles gérées par une entreprise. Il identifie précisément :

  • les acteurs qui interviennent dans ce traitement de données : sous-traitants, représentants, coresponsables, etc.
  • les catégories des données traitées ;
  • l’utilité des données récoltées, les personnes qui y ont accès et celles à qui elles sont communiquées ;
  • le temps de conservation des données ;
  • la manière dont elles sont sécurisées.
    Le registre des données constitue un outil de pilotage en plus de son rôle de mise en Conformité au Code du Numérique.

Mis à jour régulièrement, il permet aux organismes concernés d’identifier et de hiérarchiser les risques inhérents à cette législation. Il met en conformité les traitements de données d’une entreprise ou d’un organisme. La tenue d’un registre de traitement des données est une obligation pour tous les organismes qui traitent des données personnelles des personnes résidents sur le territoire béninois, qu’ils soient publics, privés, de taille importante ou modeste.

Les organismes qui traitent des données personnelles pour autrui (prestataires de services, sous-traitants, agences marketing ou de communication…) sont également soumis à cette obligation.

Deux registres différents

L’APDP (Autorité de Protection des Données à caractère Personnel) préconise la tenue de deux registres. Il s’agit d’un registre pour le Responsable de traitement et d’un registre pour le sous-traitant.

Registre du Responsable du traitement

Ce registre contient tous les traitements qui s’appliquent aux données personnelles instaurés par l’organisme en question. Il répertorie le nom et les coordonnées de l’entreprise, le nom de son représentant et celui du délégué à la protection des données. Pour chacune des activités de traitement, la fiche du registre doit renseigner :

  • le nom et les coordonnées de l’entreprise, le nom de son représentant et celui du délégué à la protection des données ;
  • les finalités du traitement ;
  • une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale ;
  • les délais prévus pour l’effacement des différentes catégories de données ;
  • une description générale des mesures de sécurité techniques et organisationnelles.

Registre du sous-traitant

Ce cahier doit lister les catégories de traitement de données réalisé pour des clients. Il contient, au minium, ces éléments :

  • le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous- traitant et celles du délégué à la protection des données ;
  • les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts, les documents attestant de l’existence de garanties appropriées.


Création de votre registre conformément au livre 5ème du code du numérique

La création du registre de traitement est chronophage, heureusement aujourd’hui, des outils pratiques existent pour le créer facilement en quelques heures seulement. La principale difficulté rencontrée lors de la constitution de ce registre réside dans le fait de lister correctement l’ensemble des traitements de données personnelles et d’écrire ensuite la documentation ayant trait à chacun de ces traitements.

Ce registre peut être rédigé à la main. Il faudra faire un tour sur le site web de l’autorité de protection pour télécharger un modèle de fichier dédiés à cet effet. Cette solution vous fera économiser plusieurs journées de travail et vous évitera la création d’une documentation qui, en pratique, n’est pas tellement utile.

En effet, il existe une multitude d’actions de conformité au livre 5ème du code utile et qui génèrent une valeur pour une entreprise. Le travail de documentation représente la fraction la plus contraignante et la moins porteuse de valeur ajoutée.    

Si vous avez pris le temps d’écrire la documentation relative à un traitement, vous savez combien elle est laborieuse, aussi, vous apprécierez vivement de disposer d’une base pré construite. Il ne vous restera plus qu’à l’adapter à vos besoins particuliers, tâche gratifiante et intéressante.  

Le cabinet 360conseils, cabinet de conseil et expert en conformité juridique avec plus d’une cinquantaine de missions de conformité dans divers secteurs d’activités vous accompagne pour votre mise en conformité.   

 Arnaud GBESSEMEHLAN

× Puis-je vous aider ?