mknews

mardi 26
mars 2019

  

6450 News

1649 Membres

Simple & Gratuit !

Je communique
sur ma marque

    btcliquez

Je reste en veille

  facebook tw 

L'information permanente dédiée aux dirigeants et aux marketeurs

 
Accueil » tribune
 
Publié le 07/02/2019

tribune

Données à caractère personnel : cartographie des traitements

Le RGPD dans son article 30 rend obligatoire le Registre des activités de traitement pour certaines entreprises. La Cartographie des Traitements, même si elle n’est pas exigée formellement par le RGPD, est quant à elle indispensable dans la pratique pour toutes les entreprises car elle est au cœur de la démarche de conformité au RGPD.

Quelles sont les caractéristiques principales de ces outils qui, pour des raisons diverses, apparaissent comme indispensables ? Bien qu’ils semblent proches, sont-ils pour autant équivalents ou interchangeables ?

Le Registre des activités de traitement, une obligation légale

Le Registre des activités de traitement est un outil obligatoire pour toutes les organisations de plus de 250 salariés. Les entreprises de moins de 250 salariés ne sont donc pas dans l’obligation de mettre en place un Registre des activités de traitements, sauf :

  • pour un traitement susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel, ou s’il porte notamment sur les catégories particulières de données (données sensibles – art 9 RGPD),
  • sur des DCP relatives à des condamnations pénales.
Ainsi, si une entreprise de moins de 250 salariés a des traitements qui rentrent dans une de ces catégories, ils devront figurer dans un Registre des activités de traitement.
Si l’organisation est éligible à mise en place du Registre, mais qu’il n’a pas été instauré, elle s’expose à des sanctions de l’autorité de contrôle, la CNIL en France. Le montant de la sanction pourra s’élever jusqu’à 10 000 000 € ou dans le cas d’une entreprise jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Dans les organisations éligibles, le Registre des activités de traitement permet de recenser formellement les traitements de données à caractère personnel en présentant de manière synthétique l’objet du traitement, sa base légale, les données collectées, les durées de conservation, les mesures de protections organisationnelles et techniques en place, les personnes concernées, les destinataires de données, les sous-traitants, la présence de transferts hors UE.

Toutefois, le Registre des activités de traitement, tel que requis par l’article 30 du RGPD, n’est pas suffisant pour atteindre et maintenir la conformité. Tout d’abord, les informations demandées ne couvrent pas toutes les exigences requises par le RGPD pour que le traitement soit considéré comme conforme. Ensuite, en cas de non-conformité ou d’évolutions des caractéristiques des traitements, il ne permet pas de suivre les actions nécessaires. C’est face à ces deux limites que la cartographie des traitements devient indispensable.


 

Toutes les news

Espace service

La lettre d'information des professionnels de la VAD, du MD, de l'E-commerce et M-commerce