Registre des traitements
Apprenez à éditer votre registre de traitement avec Dastra.
Le registre de traitement vous permet de faire la cartographie de vos traitements de données et d'avoir une vue d'ensemble de ce que vous faites avec les données personnelles concernées. Disposer d'un registre complété est une obligation de l’article 30 du RGPD, mais au delà de l'aspect contraignant, c'est surtout un outil pour mieux connaître ses données et maîtriser la chaîne de valeur associée - depuis leur production jusqu'à l'usage qui en est fait.
Chez Dastra, nous pensons que notre rôle est de vous faciliter le travail de cartographie des traitements, pour vous permettre de vous concentrer sur votre métier. Pour cela, nous vous accompagnons à travers un registre intelligent et des questionnaires qui vous guident étape par étape dans la constitution de votre registre.
La fonctionnalité de registres des activités de traitements Dastra répond à tous les attendus de la règlementation. Les registres, à la fois Responsable de Traitement et Sous traitant, reposent sur des référentiels (acteurs, actifs, jeux de données, données, risques et mesures de sécurité) permettant de cartographier vos traitements et gagner du temps dans la gestion au quotidien.
Les traitements sont duplicables et des modèles de traitement sont disponibles dans une bibliothèque librement accessible à tous nos utilisateurs. Un workflow est intégré, une fonction de recherche est présente nativement et il est possible d’importer / exporter des fiches de traitements sous différent formats ( pdf , word , html, excel , csv, json ). Il est possible d'attacher des pièces jointes, des violations ou encore des risques à ces traitements.
L’article 30 du RGPD prévoit des obligations spécifiques pour le registre du responsable de traitement et pour le registre du sous-traitant. Si votre organisme agit à la fois en tant que sous-traitant et responsable de traitement, votre registre doit donc clairement distinguer les deux catégories d’activités.
En pratique, dans cette hypothèse, la CNIL vous recommande de tenir 2 registres :
- 1.un pour les traitements de données personnelles dont vous êtes vous-même responsable,
- 2.un autre pour les traitements que vous opérez, en tant que sous-traitant, pour le compte de vos clients.
Il existe deux méthodologies pour créer une fiche de traitement :
- La conception en Top-Down (Descendante) : on démarre le projet en établissant l'inventaire des traitements de données, et on collecte ensuite les informations propres à chaque traitement (les données, les sous-traitants...etc...).
- La conception en Bottom-Up (Ascendante) : on commence par faire l'inventaire des données (les logiciels, jeux de données et champs de données personnelles) et on créé les traitements à partir de celui-ci.
Il n'y a pas de bonne ou de mauvaise méthode, tout va dépendre du contexte de votre organisation, des compétences de l'équipe DPO, de l'accessibilité des opérationnels de la donnée...
Voici un tableau de comparaison des deux approches :
Méthodologie | Cible | Bénéfices | Inconvénients |
|---|---|---|---|
Top-Down (Descendante) | Petites organisations ou collectivités
Entreprise avec une faible culture de la donnée
Equipe légale avec une faible affinité pour l'IT | Rapidité de mise en place
Moins de travail
Correspond bien aux attentes légales du RGPD
| Peut engendrer des difficultés si l'équipe de mise en place du registre ne connaît pas les données de l'organisation
Plus contraignant pour les opérationnels
L'inventaire des données sera beaucoup moins valorisable car modelé pour des attentes légales uniquement
Plus complexe à maintenir sur le long terme
|
Bottom-Up (Ascendante) | Grandes ou moyennes organisations
Avec une forte culture de la donnée
Equipe légale avec forte affinité IT | Faire l'inventaire des données sera moins abstrait que de créer directement des traitements.
Le registre reflète la réalité de l'organisation
La tenue du registre sera plus aisée sur le long terme
Plus de membres de l'organisation sont impliqués
Création de fiche de traitement est plus automatisé | Globalement plus difficile et long à mettre en place
Projet nécessitant une bonne gouvernance |
La bonne nouvelle, c'est que Dastra gère parfaitement les deux approches ! Vous pouvez soit créer une fiche en automatique en prenant un modèle de traitement. Si vous préférez l'approche , il est possible de créer sa cartographie de données et créer un traitement directement à partir d'un actif (logiciel, base de données)
Si vous souhaitez apprendre à concevoir et gérer votre registre de traitement de données, commencez ici:
Si vous souhaitez apprendre à concevoir et à gérer un de vos traitements de données, commencez ici:
Si vous souhaitez comprendre les différentes étapes du questionnaire, cliquez ici :
Si vous souhaitez apprendre à partager le registre, cliquez ici :
Comment passer en mode run sur la gestion des registres de traitements
Dernière mise à jour 2mo ago