Le RGPD prévoit que les entrepreneurs tiennent un registre des activités de traitement (VVT) (article 30 du RGPD). Dans cette deuxième partie sur le VVT, vous apprendrez à quoi doit ressembler le contenu d'un VVT.
Lire ici la partie 1 de la série VVT sur l'obligation de tenir un VVT.
Comment est structuré un VVT ?
L'obligation de tenir un VVT est stipulée à l'article 30 du RGPD. Ce registre constitue le noyau de tout système de gestion de la protection des données (SGPD) et permet d'avoir une vue d'ensemble de toutes les opérations de traitement qui ont lieu dans une entreprise.
A cet effet, un VVT contient grosso modo deux parties : D'une part, des données de base telles que le nom et les coordonnées du responsable du traitement ou du sous-traitant et, d'autre part, les différentes activités de traitement. Le contenu obligatoire de la liste d'un sous-traitant est un peu moins important (article 30 II du RGPD) que celui d'un responsable du traitement (article 30 I du RGPD). Cela est principalement dû au fait qu'ils sont soumis à des instructions. Pour en savoir plus sur la distinction entre responsable du traitement et sous-traitant, voir ici.
Comment créer un VVT ?
Que vous soyez responsable ou sous-traitant : Ces trois étapes simples permettent de créer votre VVT.
Étape 1 : Données de base dans le VVT
Le répertoire contient tout d'abord les données de base relatives à la personne qui établit le VVT.
Un responsable indique ici son nom et ses coordonnées ainsi que ceux de ses représentants. S'il y a plusieurs responsables, ces informations doivent être fournies pour tous les responsables. S'il existe Obligation de désigner un délégué à la protection des donnéesLes noms et les coordonnées de ces personnes doivent également être mentionnés.
Un sous-traitant doit mentionner, outre son propre nom et ses coordonnées, ceux du donneur d'ordre concerné et, le cas échéant, de son délégué à la protection des données.
Étape 2 : Activités de traitement au sein du VVT
En second lieu, le registre contient une liste de toutes les activités de traitement qui ont lieu. Les activités de traitement sont définies à l'article 4, point 2, du RGPD. Le rédacteur de l'inventaire doit d'abord se rappeler quelles activités de traitement ont lieu dans quels domaines de son entreprise. Il doit également tenir compte des logiciels utilisés et de la mesure dans laquelle ils traitent des données à caractère personnel. Le VVT peut également être divisé en groupes de niveau supérieur pour plus de clarté.
C'est au plus tard à partir de cette étape qu'il vaut la peine de faire appel à un délégué à la protection des données. En particulier un délégué externe à la protection des données peut avoir une meilleure vue d'ensemble de tout ce qui se passe depuis l'extérieur.
Étape 3 : Concrétiser les activités de traitement
Pour les différentes activités de traitement, il est également obligatoire de fournir les informations concrétisant l'article 30 du RGPD.
Un responsable doit indiquer les éléments suivants : les finalités du traitement, les catégories de personnes concernées, les données et les destinataires, le cas échéant, des informations sur le transfert vers des pays tiers, les délais d'effacement/de conservation, les mesures techniques et organisationnelles (TOM). Pour ces indications, il peut également être fait référence à des documents déjà existants tels que l'aperçu des MTD (concept de sécurité), l'analyse d'impact relative à la protection des données, le concept de protection des données ou le concept d'effacement.
Un sous-traitant doit uniquement indiquer les catégories de traitement qu'il effectue pour le compte du responsable de traitement concerné. En outre, aucun délai d'effacement ne s'applique à son VVT.
Autres points à prendre en compte
Le VVT doit être tenu par écrit. La forme électronique est également suffisante. L'obligation de publication n'existe que si l'autorité de surveillance l'exige. Si des personnes concernées demandent des informations, le VVT peut être utilisé en interne comme aide.
Le VVT doit être tenu à jour par son auteur et mis à jour régulièrement. Il est recommandé d'effectuer les modifications de manière à ce qu'elles puissent être suivies pendant un certain temps par la suite.
Pour un VVT exemplaire, il est judicieux de désigner un délégué à la protection des données. Nous nous proposons comme délégué externe à la protection des données. N'hésitez pas à nous contacter également pour d'autres questions relatives à la protection des données ! Notre équipe d'experts se fera un plaisir de vous aider à trouver une solution personnalisée.