- Le blog et les actualités de Witik
- Construisez un registre RGPD efficace avec nos 6 astuces
- 1 - Astuce n°1 : Commencez par une cartographie de vos activités de traitements RGPD
- 2 - Astuce n°2 : Identifiez les destinataires et supports des données
- 3 - Astuce n°3 : Complétez les traitements en équipe et déléguez à des référents
- 4 - Astuce n°4 : Auditez régulièrement
- 5 - Astuce n°5 : Priorisez par les risques
- 6 - Astuce n°6 : Préparez-vous à transmettre votre registre !
6 astuces incontournables pour rédiger efficacement votre registre
Ce bon vieux registre RGPD…
Adoré par les uns, détesté par les autres… Il représente à la fois un outil de pilotage solide mais aussi un énorme casse-tête à construire et mettre à jour.
Chez Witik, nous nous sommes posés autour d’une table et nous avons réfléchi : comment faciliter la construction et la mise à jour d’un document aussi indispensable que le registre, et faire gagner un temps précieux aux DPOs.
On vous présente notre best of des astuces RGPD ? Allez c’est parti !
Astuce n°1 : Commencez par une cartographie de vos activités de traitements RGPD
Il est parfois difficile d’identifier de manière exhaustive l’ensemble des traitements de données de l’organisme. Les activités et process sont nombreux, et les entretiens avec les métiers n’empêchent pas les omissions.
La CNIL met à disposition des DPO des cadres de référence, qui permettant de guider les organismes dans la mise en conformité de leur traitement. Ces instruments de régulation ont vocation à donner davantage de sécurité juridique aux organismes et sont élaborés en concertation avec les acteurs ou secteurs concernés.
Ces référentiels sont dotés de liste de traitements, permettant ainsi de partir d’une base de travail pour construire le registre RGPD : finalités, bases légales, durées de conservation, mesures de sécurité…
Witik a adopté cette approche directement dans son outil en constituant un référentiel de traitements pré-saisis permettant ainsi aux DPO de générer une première version de leur registre RGPD.
Chaque fiche a été classée dans une catégorie Secteur (automobile, assurance…) ou Service (Informatique, RH…) en fonction du cas, ce qui permet au DPO de lister les traitements omis ou non identifiés en amont.
Ces fiches pré-saisies peuvent directement être importées au sein du registre. Il ne restera plus qu’à les personnaliser : les destinataires, les logiciels ou encore les mesures de sécurité par exemple.
Astuce n°2 : Identifiez les destinataires et supports des données
Les destinataires reçoivent communication des données, mais cette notion englobe à la fois les organismes internes et externes au responsable de traitement. Ainsi, un service ou une entité interne sont des exemples de destinataires, au même titre qu’un partenaire commercial, un prestataire ou un organisme institutionnel.
Identifier les destinataires permet de se poser les bonnes questions : qui a le droit d’accéder aux données et dans quelles conditions.
Avec la généralisation du recours aux prestations SaaS, le recensement des supports de données facilite l’identification des destinataires. En effet, de nombreuses solutions et logiciels sont hébergés par des prestataires qui, dans le cadre de la fourniture du service souscrit, accèdent aux données du responsable de traitement.
Les relations avec ces tiers sont généralement qualifiées de sous-traitance et, à ce titre, doivent être auditées et encadrées. Pour aider les DPO dans cette démarche, Witik propose un outil de gestion de la conformité des tiers permettant de déployer des politiques d’audit et de vérifier le niveau de conformité de ses prestataires.
Les destinataires internes ne doivent pas non plus être mis de côté ! Ainsi, il est souvent commun qu’un traitement soit en place sur plusieurs entités d’un même groupe. Par exemple, des traitements RH qui sont pilotés et gérés depuis la maison mère, et qui sont appliqués selon les mêmes process au niveau de chaque entité.
Dans cette situation, ces traitements doivent être saisis dans chaque registre de chaque entité concernée.
Le DPO doit également apporter une attention toute particulière lorsque le traitement est modifié, car ces modifications doivent être répercutées sur tous les traitements de tous les registres.
Witik propose directement aux DPO une fonctionnalité dédiée : le traitement groupe. Le traitement est saisi une seule fois puis dupliqué sur l’ensemble des filiales du groupe, et toutes les modifications sont automatiquement répercutées.
Astuce n°3 : Complétez les traitements en équipe et déléguez à des référents
Le registre idéal est le fruit d’un travail d’équipe, où les équipes métiers apportent leurs connaissances opérationnelles et où le DPO analyse ces informations à travers le prisme du RGPD.
Ce travail d’équipe peut prendre plusieurs formes, mais dans certaines organisations où le nombre de traitement est élevé et les nouveaux projets fréquents, le maintien à jour du registre doit être, pour une partie, sous la responsabilité des équipes opérationnelles.
Lorsqu’un nouveau traitement voit le jour, ou qu’un traitement déjà existant doit être modifié, le nouveau traitement ou la nouvelle version de la fiche est à compléter par les équipes avant d’être soumise à validation au DPO, qui apportera lui-même ses modifications dans un second temps.
Afin de faciliter ce travail d’équipe, Witik propose de créer des Workflow permettant de découper la création ou la modification de la fiche registre en plusieurs phases. Par exemple, la nouvelle fiche est complétée par les métiers en phase Brouillon. Une fois la fiche prête, le DPO est automatiquement notifié et pourra en prendre connaissance et apporter ses modifications avant validation.
Encore mieux, il est possible d’ajouter autant d’étapes intermédiaires (validation hiérarchique métier, validation RSSI…), ou encore d’historiser et d’archiver les précédentes versions de la fiche traitement.
La collaboration et l’échange sont des éléments primordiaux dans la complétion du registre, et il est parfois difficile de retrouver facilement les décisions, documents et informations parmi tous ces outils : était-ce un mail ? un message instantané ? sur quel support ? Ces éléments peuvent prendre des formes très différentes et utiliser des canaux et supports très hétérogènes qui sont parfois difficiles à regrouper et interconnecter. Dès lors, la collaboration et le pilotage du projet de conformité devient plus difficile.
Witik propose au niveau de chaque fiche traitement un espace de collaboration permettant de centraliser tous vos échanges. Mentionner un ou plusieurs utilisateurs pour les interpeller et attirer leur attention sur un élément. Une question ? Une alerte ? Une demande ? Le module de discussion de Witik regroupe toutes les réflexions initiées autour du traitement, pour mieux les intégrer dans votre projet de conformité.
Astuce n°4 : Auditez régulièrement
Créer son registre, c’est bien. Tenir son registre à jour dans le temps, c’est mieux ! La conformité au RGPD est un processus continu, et le registre n’échappe pas à cette logique. Véritable fiche d’identité RGPD de l’organisme, il doit refléter autant que possible l’état des différents flux de données.
Afin de maintenir son registre à jour, il convient d’auditer régulièrement les traitements. En effet, ces derniers évoluent au fil des ans : nouveaux logiciels, nouveaux prestataires, nouvelles données… De plus, les mesures de sécurité, les mentions d’informations ou encore les contrats sont des éléments à ne pas oublier dans l’audit.
Il n’existe pas de recommandation officielle concernant la fréquence de l’audit, elle doit avant tout être adaptée à la sensibilité du traitement. Par exemple, il est envisageable d’auditer annuellement les traitements nécessitant la réalisation d’une analyse d’impact, tandis que les traitements plus courants peuvent être audités à une fréquence moins soutenue. Lorsque votre registre des traitements est volumineux et votre temps compté, un audit d’échantillonnage est également une bonne façon de détecter les écarts.
Witik propose des audits intelligents permettant en quelques clics de déployer des questionnaires, auditer les traitements selon un référentiel, identifier les non-conformités et générer automatiquement des actions de remédiation. Avec Witik, c’est du 4 en un ! Et si votre audit est récurrent, paramétrer des rappels automatiques et recevez directement les notifications par courriel.
Astuce n°5 : Priorisez par les risques
Les organismes sont tenus d’adopter une approche par les risques dans la construction de leur documentation et dans le respect de leurs obligations (article 32.1 du RGPD).
Ces risques concernent les droits et libertés des personnes physiques, et leur degré de probabilité et de gravité varie énormément en fonction de la portée, du contexte et des finalités du traitement.
Mais de manière générale, il est possible d’identifier des situations dans lesquelles le traitement méritera une attention particulière de la part du DPO.
Un traitement comportant des données sensibles, sans mesure de sécurité associée, lié à un sous-traitant sans document contractuel identifié, ayant transfert sans garantie appropriée, nécessitant une analyse d’impact non encore réalisée…
Afin d’accompagner les DPO dans cette approche par les risques, Witik met en place dans sa solution un filtre intelligent permettant d’identifier ces traitements critiques.
Et si une situation présentant des risques n’est pas référencée dans l’outil, le DPO a la possibilité de créer lui-même un champ personnalisé qui lui permettra de filtrer les traitements sur la base de ses propres valeurs. Catégorisez et séparez vos traitements comme bon vous semble !
Astuce n°6 : Préparez-vous à transmettre votre registre !
Il est de plus en plus courant de transmettre le registre des traitements à des tiers : appels d’offres, rachat, audit interne, audit CNIL… Cette situation est d’autant plus courante chez les sous-traitants qui sont tenus de communiquer leur registre de sous-traitance sur demande de leurs clients.
Le registre est l’épine dorsale de la conformité RGPD, et sert souvent d’outil de pilotage. A ce titre, il contient généralement beaucoup plus d’informations que ce qui est demandé au sein de l’article 30 du RGPD.
Lorsque le DPO est amené à transmettre une partie ou la globalité de son registre, il doit être vigilant à ne transmettre que ce qui est strictement nécessaire et vérifié. Attention aux commentaires internes pouvant compromettre la conformité d’un traitement !
Afin d’éviter ce genre de situation, Witik permet à ses utilisateurs d’exporter le registre, en format Excel ou PDF, de manière globale ou sur la base de filtres, avec ou sans les informations non obligatoires au regard de l’article 30 du RGPD.
Suivre toutes ces astuces vous permettront de construire et tenir à jour votre registre de manière efficace ! Et avec un outil comme Witik, gagnez du temps et concentrez vous sur l’essentiel.