Le Règlement général sur la protection des données (le Règlement (UE) 2016/679, couramment appelé RGPD) décrit les principes à respecter pour traiter les données personnelles en toute légalité (y compris les recueillir, les utiliser, les protéger ou interagir avec elles de façon générale). Il vise à renforcer la protection des données pour toutes les personnes dont les données personnelles relèvent de son champ d’application, afin de leur redonner le contrôle de leurs données personnelles.
En pratique, la satisfaction des exigences du RGPD peut représenter un défi technique. Cela est d’autant plus vrai en matière de gestion de la protection de la vie privée au niveau interne. Les responsables du traitement de données personnelles doivent être en mesure de décrire les données qu’ils collectent, les finalités de la collecte, les parties impliquées et d’autres informations pour l’ensemble de la société, y compris en ce qui concerne les données des employés.
Pour plus d’informations sur le contexte du RGPD, consultez notre guide complet sur le RGPD.
L’objectif de cet article est de vous guider pas à pas à travers notre Registre des activités de traitement des données au niveau interne.
Remarque : bien que le RGPD soit une raison courante de faire plus d’efforts en matière de gestion de la protection de la vie privée au niveau interne, notre registre n’est pas conçu exclusivement pour la mise en conformité avec le RGPD. Il peut également être utilisé à des fins générales de gestion de la protection de la vie privée au niveau interne, y compris par des sociétés qui n’ont pas d’utilisateurs ou de clients au sein de l’UE.
Poursuivez la lecture ou regardez le tutoriel complet.
Le RGPD exige que les responsables du traitement et les sous-traitants tiennent un registre des activités de traitement. Ces documents doivent être consignés par écrit, y compris sous forme électronique. Le Registre des activités de traitement des données a été conçu spécifiquement pour les responsables du traitement et sous-traitants de respecter cette obligation.
Le registre des activités de traitement doit être rendu disponible aux autorités de contrôle, si celles-ci le demandent.
Les entreprises ou organisations qui emploient moins de 250 personnes sont exemptées de cette obligation.
👉 Cependant, si vous employez moins de 250 personnes, mais remplissez l’une des conditions suivantes, vous êtes tenu de satisfaire cette exigence du RGPD :
Les domaines sont des groupes qui se caractérisent par des activités de traitement homogènes. Quelques exemples : votre site Web, votre application mobile, vos magasins physiques, vos employés, le recrutement, votre usine de fabrication, etc. Pour chaque domaine, vous pouvez ajouter une description du traitement des données, tout comme vous le faites probablement déjà avec notre générateur de politique de confidentialité ou notre générateur de conditions générales pour un site donné. En résumé, les domaines sont des reproductions de l’entité « site » connectées les unes aux autres, que vous pouvez créer à loisir.
Au niveau du compte, vous pouvez ajouter des membres, que vous pouvez ensuite associer à un rôle particulier (tel que « responsable du traitement », « sous-traitant », etc.) ou un domaine précis.
Lors de l’association, vous pouvez choisir le rôle du membre parmi les suivants :
Par exemple, sur Internet, une société peut recueillir des informations sur les utilisateurs par le biais de son site Web et les conserver à l’aide d’un service cloud tiers. Dans ce scénario, la société est le responsable du traitement et l’organisation qui met à disposition le service cloud est le sous-traitant.
Vous pouvez considérer ce répertoire comme un carnet d’adresses. Tous les propriétaires actuels sont également des membres.
Gardez à l’esprit que la configuration que vous définissez pour la section des membres du domaine est ensuite appliquée par défaut à chaque service.
Les membres suivants sont disponibles par défaut :
Votre politique de confidentialité doit être adaptée aux pratiques de collecte de données de votre site ou application. Pour cela, vous devez y ajouter des services.
Les services relèvent habituellement de deux catégories :
Pour déterminer quels services basiques vous devez ajouter à votre politique, posez-vous les questions suivantes :
Dans la section suivante, nous passerons en revue les nouveaux champs que nous avons ajoutés pour vous faciliter la gestion de la protection de la vie privée au niveau interne. Ces champs se trouvent dans la fenêtre de personnalisation qui s’affiche lors de l’ajout d’un service. Nous procéderons étape par étape pour vous aider à choisir la meilleure option au vu de votre propre situation.
Ces deux champs vous sont proposés par simple commodité, pour vous permettre de décrire le service concerné. Par exemple, vous pourriez ajouter le label « centre de données ALL » et la description « centre de données de Francfort ».
Ce champ s’applique uniquement à certains services pour lesquels vous pouvez préciser si les données quittent ou non l’UE. C’est notamment le cas d’Amazon Web Services (souvent abrégé en « AWS »).
Ce champ n’est proposé que pour certains services, pour vous permettre de préciser le type de données personnelles que vous collectez par le biais du service concerné.
En vertu du RGPD, le traitement des données n’est autorisé que lorsqu’il a au moins une base juridique.
Les bases juridiques sont les suivantes :
Dans notre registre, vous pouvez sélectionner l’une des options suivantes :
La base juridique n’est nécessaire que lorsque vous transférez des données hors de l’UE ; choisissez donc l’option adéquate.
Vous pouvez choisir parmi les options suivantes :
Responsable du traitement
Désigne toute personne physique ou morale qui participe à la définition des objectifs et des moyens du traitement des données à caractère personnel.
Sous-traitant
Désigne toute personne physique ou morale qui participe au traitement des données à caractère personnel pour le compte du responsable du traitement.
Membres de l’organisation du responsable du traitement
Par exemple, il s’agit couramment des employés de la société ou de l’organisation.
Personnes concernées
Par exemple, il peut s’agir des utilisateurs d’un site Web ou d’une application, des visiteurs d’une boutique physique ou de clients.
Dans des circonstances normales, lorsqu’un traitement a pour base juridique le « consentement », tous les droits doivent être sélectionnés. Notre solution vous propose les options suivantes :
Ce champ se rapporte à la durée de conservation des données. L’option par défaut est la « conservation des données pour le temps nécessaire au regard de la finalité prévue ». Elle s’applique dans la plupart des cas. Autrement, vous pouvez définir une durée d’un à cinq ans.
Les mesures de sécurité incluent couramment les méthodes de chiffrement utilisées ainsi que les tests de pénétration ou d’évaluation des vulnérabilités. Cela signifie que vous devez soumettre régulièrement vos systèmes techniques à des tests afin d’en évaluer la sécurité et la résilience.
Autre mesure importante, « la sauvegarde et le stockage de périphériques de sauvegarde » signifie que vous devriez stocker vos périphériques de stockage dans un endroit dédié, uniquement accessible au personnel qui en a la responsabilité. Vous devriez vous assurer de la sécurité de l’endroit choisi au moins une fois par an.
Il est aussi recommandé d’installer un pare-feu et d’en assurer la gestion. Nous vous conseillons de passer en revue la configuration actuelle, gérer les permissions des utilisateurs du système, vérifier que le système est à jour et, enfin, l’installer sur les appareils portables. Bien sûr, la mise en place d’un pare-feu n’est pas une nouveauté du RGPD, mais une mesure de sécurité élémentaire déjà imposée par les normes actuelles.
Dans notre registre, vous pourrez choisir parmi les options suivantes :
En vertu du RGPD, vous devez décrire vos pratiques de collecte de données de façon très précise et détaillée. Prenons un scénario courant : un site Web dispose de plusieurs formulaires de contact, dont chacun s’adresse à des personnes physiques différentes ou dont les données recueillies sont partagées avec des parties différentes. Autre exemple : un site propose deux newsletters différentes destinées à des clients ou groupes d’utilisateurs différents.
Notre Registre des activités de traitement des données au niveau interne vous permet donc d’ajouter différentes versions d’un même service.
Nous allons désormais passer en revue un éventail d’exemples précis pour vous donner une vision plus concrète des informations ci-dessus, y compris de nos « options alternatives » :
La société Exemple SARL ajoute un domaine de site et configure la politique de confidentialité, la politique relative aux cookies, Privacy Controls and Cookie Solution et les conditions générales de service.
Pour la politique de confidentialité, voici ce qu’elle fait :
membres : ici, elle définit les membres globaux pour chaque rôle valable pour le domaine entier. Les membres peuvent aussi être définis service par service.
responsable du traitement : Exemple SARL (le propriétaire)
membres de l’organisation du responsable du traitement : les employés
sous-traitants :
personnes concernées : les utilisateurs du site
nom : Exemple SARL
label : centre de données ALL
description : centre de données de Francfort
région : UE
base juridique du traitement : contrat
personnes qui traitent les données personnelles : le propriétaire, les employés (définis au niveau du site)
personnes concernées : les utilisateurs du site Web
base juridique du transfert de données : transfert de données interdit
droits disponibles : aucun (puisque la fourniture du service serait impossible s’ils s’opposaient au traitement réalisé par Exemple SARL)
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir
label : centre de données PB
description : centre de données d’Amsterdam
région : UE
base juridique du traitement : contrat
personnes qui traitent les données personnelles : le propriétaire, les employés (définis au niveau du site)
personnes concernées : les utilisateurs du site Web
base juridique du transfert de données : transfert de données interdit
droits disponibles : aucun (puisque la fourniture du service serait impossible s’ils s’opposaient au traitement réalisé par Exemple SARL)
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir
(si vous n’utilisez pas Google Analytics sur votre site Web ou dans votre application, vous pouvez très facilement insérer un autre outil d’analyse ici)
nom : Google Analytics
label : Google Analytics
description : outil de suivi de Google Analytics
base juridique du traitement : consentement
personnes qui traitent les données personnelles : le propriétaire, les employés (de la société concernée)
personnes concernées : les utilisateurs du site Web
base juridique du transfert de données : consentement
droits disponibles : information, accès, rectification, effacement, limitation du traitement, portabilité des données, opposition
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
nom : e-mails et newsletter
label : newsletter principale (n’oubliez pas que vous pouvez avoir plus d’une newsletter ou liste de distribution)
description : liste de distribution de la newsletter principale
données personnelles : adresse e-mail
base juridique du traitement : consentement
personnes qui traitent les données personnelles : le propriétaire, les employés (de la société concernée)
personnes concernées : les utilisateurs du site Web
base juridique du transfert de données : transfert de données interdit
droits disponibles : information, accès, rectification, effacement, limitation du traitement, portabilité des données, opposition
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
label : séquence principale (en référence à une séquence d’e-mails, par opposition à une newsletter standard)
description : séquence d’e-mails
données personnelles : adresse e-mail
base juridique du traitement : consentement
personnes qui traitent les données personnelles : le propriétaire, les employés
personnes concernées : les utilisateurs du site Web
base juridique du transfert de données : transfert de données interdit
droits disponibles : information, accès, rectification, effacement, limitation du traitement, portabilité des données, opposition
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir
label : newsletter produit secondaire
description : /
données personnelles : adresse e-mail
base juridique du traitement : consentement
personnes qui traitent les données personnelles : le propriétaire, les employés
personnes concernées : les utilisateurs du site Web
base juridique du transfert de données : transfert de données interdit
droits disponibles : information, accès, rectification, effacement, limitation du traitement, portabilité des données, opposition
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir
label : séquence produit secondaire
description : /
données personnelles : adresse e-mail
base juridique du traitement : consentement
personnes qui traitent les données personnelles : le propriétaire, les employés
personnes concernées : les utilisateurs du site Web
base juridique du transfert de données : transfert de données interdit
droits disponibles : information, accès, rectification, effacement, limitation du traitement, portabilité des données, opposition
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir
label : newsletter affiliation
description : newsletter destinée aux sociétés affiliées
données personnelles : adresse e-mail
base juridique du traitement : consentement
personnes qui traitent les données personnelles : le propriétaire, les employés, l’agence X (qui gère les campagnes d’affiliation)
personnes concernées : les utilisateurs du site Web
base juridique du transfert de données : transfert de données interdit
droits disponibles : information, accès, rectification, effacement, limitation du traitement, portabilité des données, opposition
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir
nom : ReferralCandy
label : compte principal ReferralCandy
description : /
base juridique du traitement : consentement
personnes qui traitent les données personnelles : le propriétaire, les employés, l’agence X (qui gère les campagnes d’affiliation)
personnes concernées : les utilisateurs du site Web
base juridique du transfert de données : consentement
droits disponibles : information, accès, rectification, effacement, limitation du traitement, portabilité des données, opposition
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir
label : compte ReferralCandy pour le produit secondaire
description : /
base juridique du traitement : consentement
personnes qui traitent les données personnelles : le propriétaire, les employés, l’agence X (qui gère les campagnes d’affiliation)
personnes concernées : les utilisateurs du site Web
base juridique du transfert de données : consentement
droits disponibles : information, accès, rectification, effacement, limitation du traitement, portabilité des données, opposition
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir
L’utilisateur ajoute un domaine personnalisé qu’il appelle « employés » pour décrire les données personnelles qu’il traite au sujet des employés et les finalités du traitement.
membres :
responsable du traitement : Exemple SARL (le propriétaire)
membres de l’organisation du responsable : le département RH
sous-traitants : M. X, Mme Y
personnes concernées : les employés, les consultants
nom : préparation des bulletins de salaires
base juridique du traitement : obligation légale
personnes qui traitent les données personnelles : le propriétaire, les employés, le département RH, M. X, Mme Y
personnes concernées : les employés, les consultants
base juridique du transfert de données : transfert de données interdit
droits disponibles : aucun
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir
nom : Timely (logiciel de suivi du temps de travail des employés)
base juridique du traitement : contrat
personnes qui traitent les données personnelles : le propriétaire, les employés, le département RH, M. X, Mme Y
personnes concernées : les employés, les consultants
base juridique du transfert de données : consentement
droits disponibles : aucun
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir
L’utilisateur ajoute un domaine personnalisé qu’il appelle « entretien d’embauche » pour décrire les données personnelles qu’il traite au sujet des candidats et les finalités du traitement.
membres :
responsable du traitement : Exemple SARL (le propriétaire)
membres de l’organisation du responsable du traitement : les employés, le département RH
sous-traitants :
personnes concernées : les candidats à un emploi
nom : évaluation des candidats
base juridique du traitement : consentement
personnes qui traitent les données personnelles : le propriétaire, les employés, le département RH
personnes concernées : les candidats
base juridique du transfert de données : transfert de données interdit
droits disponibles : aucun
politique de conservation : conservation des données pour le temps nécessaire au regard de la finalité prévue (option par défaut)
mesures de sécurité : à définir