RGPD 3 – Modèle de registre de traitement de données personnelles (article 30 du RGPD) – version simple

Auteurs : FB Juris et Franck Beaudoin, avocat

Publié sur idroit.co le 18 mai 2018

Registre des activités de traitement de données personnelles

Responsable du traitement

Nom :

Coordonnées :

Responsable conjoint du traitement

Nom :

Coordonnées :

Représentant du responsable du traitement

Nom :

Coordonnées :

Délégué à la protection des données

Nom :

Coordonnées :

Activités de traitement de données personnelles

Référence Intitulé de l’activité
Activité 1  
Activité 2  
Activité 3  
Activité 4  
Activité 5

Sécurité des traitements de données personnelles

Nous décrivons ci-dessous les mesures générales de sécurité applicables à tous les traitements de données personnelles.

XXX [description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1, du RGPD].

Fiche de registre

Activité 1 : XXX [intitulé de l’activité]

Date de création de la fiche : XXX [date]

Date de la dernière mise à jour de la fiche : XXX [date]

Notes sur la fiche / actions à mener : XXX [le cas échéant, préciser toute information utile, par exemple en cas d’action de mise en conformité à mener ou en cas de suspicion d’une faille de sécurité].

> Finalités du traitement de données personnelles

Le traitement de données personnelles est destiné à XXX [décrire les finalités].

Prise de décision automatisée – profilage : XXX [OPTION 1 : non // OPTION 2 : oui. XXX [préciser]].

> Base juridique du traitement

XXX [décrire le fondement du traitement, son caractère contractuel ou réglementaire, le caractère obligatoire ou facultatif].

> Catégories de personnes dont les données sont collectées

1 – XXX [catégorie de personnes concernées, par exemple : contacts, prospects, clients, fournisseurs, conseils, salariés, partenaires].

2 – XXX [catégorie de personnes].

> Catégories de données collectées

1 – XXX [catégorie de données, par exemple : Identification basique : civilité, prénom, nom, adresse électronique, téléphone].

2 – XXX [catégorie de données].

> Caractéristiques du traitement de données personnelles

Données sensibles : XXX [OPTION 1 : non // OPTION 2 : oui. Analyse d’impact : XXX. Consultation de la CNIL : XXX].

Données collectées auprès de la personne concernée : XXX [OPTION 1 : oui // OPTION 2 : non. Source des données : XXX]. Preuve du consentement, si le traitement repose sur le consentement : XXX [précisions sur la preuve du consentement].

Durée de conservation des données : XXX [durée].

Support des données : XXX [papier // informatique].

Localisation des données : XXX [siège // ordinateur local // réseau informatique local // hébergement (cloud) – serveurs tiers localisés XXX [pays]].

Mesures spécifiques de sécurité : XXX [description des éventuelles mesures de sécurité spécifiques, par exemple : badge d’accès, bureau fermé à clé, armoire fermée à clé, alarme, vidéosurveillance, disque dur crypté, codes d’accès, antivirus, sauvegardes horaires automatiques, droits d’accès, antivirus, cryptage, politique de confidentialité, procédures spécifiques].

> Destinataires des données personnelles

1 – Destinataires internes

1.1 – Destinataires internes – XXX [sous-catégorie, par exemple : DAF // service juridique // service comptable // département RH // service commercial // marketing, communication // service informatique // service après-vente // service achats]

Obligation de confidentialité et de respect du RGPD : XXX [préciser, par exemple : clause de confidentialité // obligation légale de confidentialité].

1.2 – Destinataires internes – XXX [sous-catégorie]

Obligation de confidentialité et de respect du RGPD : XXX [préciser].

2 – Destinataires externes – groupe

2.1 – Destinataires externes – sociétés affiliées – XXX [dénomination sociale]

Obligation de confidentialité et de respect du RGPD : XXX [préciser].

2.2 – Destinataires externes – sociétés affiliées – XXX [dénomination sociale]

Obligation de confidentialité et de respect du RGPD : XXX [préciser].

3 – Destinataires externes – sous-traitants

3.1 – Destinataires externes – sous-traitants – XXX [identification]

Obligation de confidentialité et de respect du RGPD : XXX [préciser].

3.2 – Destinataires externes – sous-traitants – XXX [identification]

Obligation de confidentialité et de respect du RGPD : XXX [préciser].

4 – Destinataires externes – conseils

4.1 – Destinataires externes – conseils – XXX [identification, par exemple : avocat, expert-comptable, commissaire aux comptes]

Obligation de confidentialité et de respect du RGPD : XXX [préciser].

4.2 – Destinataires externes – conseils – XXX [identification]

Obligation de confidentialité et de respect du RGPD : XXX [préciser].

5 – Destinataires externes – partenaires

5.1 – Destinataires externes – partenaires – XXX [identification]

Obligation de confidentialité et de respect du RGPD : XXX [préciser].

5.2 – Destinataires externes – partenaires – XXX [identification]

Obligation de confidentialité et de respect du RGPD : XXX [préciser].

> Transferts de données en dehors de l’Union européenne

Transfert de données vers un pays tiers ou à une organisation internationale : XXX [OPTION 1 : non // OPTION 2 : oui. Identification du pays tiers ou de l’organisation internationale : XXX. En cas de transfert visé à l’article 49, paragraphe 1, deuxième alinéa, du RGPD, documents attestant de l’existence de garanties appropriées : XXX [préciser]].