CNIL : Les TPE-PME Doivent Tenir Un Registre Aux Normes Le RGPD

CNIL : Les TPE-PME Doivent Tenir Un Registre Aux Normes Le RGPD

Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Cela tend à responsabiliser les entreprises afin qu’elles puissent mieux gérer et sécuriser les données personnelles de leurs clients sur le sol européen. Ne pas se conformer à cette nouvelle législation pourrait entraîner des sanctions.

C’est pourquoi il est important pour les TPE/PME de s’assurer d’être en règle avec le RGPD et dans cette optique, la création d’un registre est un must.

La CNIL aide les organismes grâce à un guide

Créer et maintenir un registre pour une entreprise, qu’il soit privé ou public, est une démarche qui peut être facilitée. En effet, il suffit de s’appuyer sur le guide que la CNIL (Commission nationale de l’informatique et des libertés) met à sa disposition. Ainsi, il se présente sous format PDF et cible les besoins les plus courants des TPE-PME concernant le traitement de données.

Le registre concerne qui précisément ?

Toutes les firmes sont tenues d’avoir un registre des traitements, du moment qu’elles gèrent les données personnelles des citoyens de l’Union européenne.

Toutefois, si c’est une entreprise avec moins de 250 salariés, elle peut bénéficier d’une dérogation. Par exemple, seules les données relatives à la gestion de la paie, aux clients, fournisseurs ou prospects, entre autres, y seront inscrites. Donc, il cible uniquement des cas particuliers de traitements occasionnels.

Mais… Si les traitements comportent un risque sur les droits et libertés des personnes, cela doit être mentionné dans le registre de la PME.

La sous-traitance de données personnelles

Les sous-traitants comme les centres d’appels par exemple doivent également tenir un registre. De ce fait, ils seront à même de démontrer toutes les données qu’ils traitent pour le compte de leurs clients étrangers.

Si l’organisme est un sous-traitant et également le responsable de traitement, les deux catégories d’activités devront se distinguer sur le registre.

Concrètement, il vaudrait mieux alors, tenir deux registres. L’un ciblera les traitements de données personnelles de l’organisme tandis que l’autre sera attribué à la sous-traitance pour le compte des clients européens.

Le contenu du registre

Il est possible de voir une mention du registre dans l’article 30 du RGPD. Voici les informations qu’il devra contenir, parmi de nombreux autres :

  • Qui sont les parties prenantes qui interviennent dans le traitement des données ?
  • Quelles sont les catégories de données qui sont traitées ?
  • À quoi servent ces données ?
  • Qui accède à ces informations et à qui sont-elles communiquées ?
  • Combien de temps devront-elles être conservées ?
  • Comment sont-elles sécurisées?

L’utilité du registre par rapport au RGPD

La CNIL propose ce registre qui devra servir de recensement et d’analyse. Il reflétera la réalité des traitements de données personnelles qui sont effectués par les PME. Il permettra aussi d’identifier avec précision les parties prenantes (sous-traitants et co-responsables représentants) qui interviendront dans le traitement des données.

Une entreprise ne doit courir aucun risque lorsqu’il est question de la conformité au RGPD. Effectivement, ce règlement prévoit qu’elle devra mettre à jour son système et le centraliser. Ce registre sera donc un moyen de se poser les bonnes questions afin de s’en assurer.

Si une fois le registre créé, il indique des failles, cela donnera l’occasion aux firmes de mettre sur pied un plan d’action afin d’y remédier.

Comment constituer un registre ? 

Il faut commencer par rencontrer les personnes responsables dans les différents services et rassembler les informations dont elles disposent.

Puis, élaborer un tableau de suivi en mentionnant les différentes activités de l’organisme à ces traitements.

Pour finir, identifier les risques que cela peut entraîner et prendre les mesures qui seraient conforme au RGPD.

Quand la CNIL veille…

Sachez que la CNIL peut contrôler les données traitées à tout moment. Il est donc important de créer un registre rapidement (si ce n’est pas déjà fait) ou de mettre à jour le vôtre. Pour info, le registre actuel qui est mis à la disposition des organismes fera prochainement l’objet de mises à jour en se basant sur l’expérience des usagers.

Il est important d’être aux normes avec le RGPD, que ce soit pour les firmes dans l’UE ou en offshore. Nombreuses sont les sociétés qui peuvent donc se lancer dans l’externalisation avec confiance, car les sous-traitants dans divers pays, à l’instar de Maurice, sont soumis à une législation en phase avec le RGPD.

Des informations supplémentaires ?

Vous pouvez en faire autant si vous envisagez d’externaliser vos projets. Il vous suffit de nous contacter en remplissant la fiche sur notre site ou en nous appelant au 09 70 71 83 00. Nous vous donnerons plus de détails sur le RGPD et le registre à tenir ainsi que sur les prestataires qui se plient à cette législation.

 

 

Source : http://www.mondaq.com/x/705322/data+protection/Data+Protection+Data+Protection+Act+2017+VS+GDPR

https://www.cnil.fr/fr/comprendre-le-reglement-europeen

/1 Commentaire/par
1 réponse

Trackbacks (rétroliens) & Pingbacks

  1. Logistique Des Grandes Chaînes De Livraison Repas À Domicile - CallCenterIleMaurice.com dit :
    13 juin 2018 à 19:00

    […] cornélien, et les nouvelles technologies n’aident en rien ! Eh oui, vous avez bien compris, le numérique est l’invité d’honneur de nos assiettes et ce au quotidien ! Mais de quelles façons se […]

Les commentaires sont désactivés.