Etablir un registre des activités de traitement

La nouvelle loi sur la protection des données vous oblige de tenir un registre du traitement des données. Une exception est faite aux entreprises de moins de 250 collaborateurs, mais il y a aussi une exception à l’obligation de tenir un registre des activités de traitement, si le traitement de vos données porte sur des données sensibles à grande échelle ou le traitement constitue un profilage à risque élevé. C'est dans cette optique que les responsables du traitement des données et les sous-traitants sont tenus de tenir un registre de leurs activités de traitement.

Comment établir un registre des activités de traitement pour votre entreprise ? Un moyen simple est de créer un fichier Excel pour obtenir une vue synthétique de votre situation et pouvoir visualiser rapidement votre situation et pouvoir agir sur les traitements non maîtrisés. Créez les colonnes essentielles dans votre tableau Excel, selon les critères demandés par la loi.

Pour le responsable du traitement, la loi impose que ce registre comporte les éléments suivants :

1. L’identité du responsable du traitement
2. La finalité pour laquelle les données sont traitées
3. Une description des catégories de personnes concernées et des catégories de données personnelles traitées
4. Les catégories de destinataires des données
5. Le délai de conservation des données personnelles, ou si cela n'est pas possible, les critères pour déterminer ce délai
6. Une description générale des mesures prises pour garantir la sécurité des données selon l’article 8
7. En cas de transfert de données personnelles à l'étranger, des détails sur ce transfert

Pour le sous-traitant le registre doit contenir :

1. L'identité du sous-traitant ainsi que celle du responsable du traitement
2. Les catégories de traitements effectués pour le compte du responsable
3. D'autres indications prévues par la réglementation

Etablir une fiche de registre par activité décrite dans le vôtre registre de traitement

Après avoir identifié vos activités, il est essentiel de créer une fiche de registre distincte pour chacune d'entre elles. Cette fiche agira comme un guide de référence pour vérifier que chaque activité a été dûment prise en compte. Elle devra inclure des détails cruciaux tels que l'adresse de la société, le nom du responsable, ainsi que la date de révision. De plus, elle devra préciser l'objectif visé, les différentes catégories de personnes impliquées, les types de données collectées, et indiquer si des données sensibles sont en jeu. La durée de conservation pour chaque catégorie de données, les destinataires potentiels de ces données, et toute éventualité de transfert hors de l'UE ou vers des pays n'ayant pas d'accord avec la Suisse devront également y figurer. Enfin, les mesures de sécurité, tant organisationnelles que techniques, destinées à garantir la confidentialité des données, devront être clairement énoncées.