Le RGPD impose dans son article 30 la tenue d’un Registre des traitements. Ce registre est une véritable photographie des activités de l’entreprise où des données personnelles sont utilisées.
Des informations obligatoires dans son registre
Ce registre peut être tenu de façon libre (Document texte, classeur Excel…) mais il doit comporter un certain nombre d’informations obligatoires :
- Les parties prenantes qui interviennent dans le registre des traitements. Il peut s’agir de sous-traitants, de prestataire externe, les services en interne….
- Les catégories de données traitées (Etat civil, vie professionnelle, vie personnelle…) et qui peut accéder à ces données
- La finalité du traitement, à quoi servent les données qui sont récoltées
- Combien de temps sont conservées les données que vous possédez
- Les mesures qui ont été mises en place afin de protéger les données personnelles. Il peut s’agir de mesures techniques ou organisationnelles.
Les limites d’un registre Excel
Il existe cependant un certain nombre de limites à l’utilisation d’un Excel pour tenir sa conformité.
- Un seul utilisateur va devoir remplir le fichier. En effet, il est très complexe de travailler à plusieurs sur un fichier et la cohérence des informations peut s’avérer dégradée. Le RGPD est un processus qui doit être réalisé de façon collaborative par le DPO et les collaborateurs. De plus, il existe un risque que la personne puisse altérer le document de façon volontaire ou non ;
- La qualité des informations : certaines informations, comme l’identité du responsable de traitement, les descriptions de données etc… sont identiques. Les saisies multiples d’une même information peuvent être source d’erreurs.
- Pas de traçabilité : le RGPD impose une traçabilité des activités et des informations. Si un changement est effectué sur le traitement les informations doivent être conservées, c’est-à-dire que l’entreprise doit être capable de prouver quels processus étaient en œuvre à un instant T. Avec un Excel, si l’information est purement supprimée et remplacée dans le tableur il sera impossible d’avoir un versionning ;
- Un Excel permet de tenir que le Registre des traitements : ce n’est pourtant pas la seule procédure obligatoire du RGPD. Il faut également avoir des procédures concernant le droit des personnes, les violations de données, les analyses d’impact, le registre de sous-traitant…
- Associer des documents, par exemple des contrats ou des garanties mises en place, est difficile via un excel. Les emplacements de ces documents peuvent être amenés à varier et ainsi il n’est plus possible de retrouver le document.
L’utilisation d’une solution logicielle semble au vu de ces arguments plus adaptée afin d’assurer la traçabilité des documents mais aussi leur centralisation.
Une solution logicielle permettra également d’intégrer les collaborateurs dans la démarche de mise en conformité RGPD, ce qui permettra un déploiement et une adhésion plus rapide.