Le RGPD requiert (à l’article 30) l’existence de registres des activités de traitement, tant pour les responsables de traitement que pour les sous-traitants.
Comment devons-nous préparer?
Une bonne façon de commencer est de faire un audit des informations ou un exercice de cartographie des données pour clarifier quelles données personnelles votre organisation détient et où. Il est important que des personnes de votre organisation participent au processus; cela peut vous aider à ne rien manquer lors du mappage des données que votre organisation traite. Il est tout aussi important d’obtenir l’adhésion de la haute direction afin que votre exercice de documentation soit soutenu et doté de ressources suffisantes.
Quelles mesures devons-nous prendre ensuite?
Une fois que vous aurez une idée de base de vos données personnelles et de leur emplacement, vous serez en bonne position pour commencer à documenter les informations que vous devez enregistrer dans le cadre du RGPD.
Que devons-nous documenter en premier?
Commencez par les informations les plus larges sur une activité de traitement particulière, puis réduisez progressivement la portée à mesure que vous documentez chaque exigence en vertu de l’article 30:
Responsables de traitement – il est logique que les responsables de traitement commencent par une fonction métier – par exemple RH, ventes, service client, service informatique, etc. Chaque fonction commerciale est susceptible d’avoir plusieurs finalités différentes pour le traitement des données personnelles, chaque finalité impliquera plusieurs catégories différentes de personnes, et à leur tour ces catégories de personnes auront leurs propres catégories de données personnelles, etc.
Sous-traitants – bien que vous ayez moins d’informations à documenter en tant que sous-traitant, il est toujours utile d’adopter une approche «large à étroite». Commencez avec le responsable de traitement pour lequel vous traitez les données personnelles. Il existe plusieurs catégories de traitements que vous effectuez pour chaque contrôleur, et à leur tour différents types de transferts internationaux, mesures de sécurité, etc.
