Le RGPD est entré en vigueur le 25 mai 2016 et s’applique à toutes les entreprises françaises depuis le 25 mai 2018. Bien que l’obligation de déclarer un délégué à la protection des données ne s’applique qu’aux plus grandes d’entre elles, toute entreprise petite ou grande doit s’y conformer.
Ceci débute par la tenue d’un registre obligatoire d’après l’ article 30 du RGPD, à savoir le registre des activités de traitement.
Ce registre doit faire l’inventaire exhaustif de tous les traitements de données à caractère personnel réalisés par l’entreprise. De plus, il faut veiller à ce que ce registre soit tenu à jour régulièrement.
En premier, ce registre doit, comme tous les autres registres, comporter les informations du responsable de traitement ainsi que celles du délégué à la protection des données.
Ensuite, pour chaque traitement, il est nécessaire de décrire à minima :
En qualité de sous-traitants, l’entreprise doit tenir un registre séparé ou non des activités de traitement réalisé par le compte d’un autre responsable de traitement.
Ce registre doit permettre de lister l’ensemble des personnes ayant demandé à exercer leurs droits en vertu du RGPD.
L’ensemble des potentielles violations de données personnelles comme la perte d’une clé USB ou le vol d’un ordinateur doivent être consignés dans un registre séparé.
Chacune des actions de formation ou d’information tel qu’un mail de sensibilisation ou la formation à la sécurité informatique menée dans le cadre du RGPD doivent d’être répertoriés dans un registre.
Un des grands principes et aussi un des grands changements apportés par le RGPD est la notion d’accountability. Avant l’entrée en vigueur du RGPD, le traitement de données personnelles devait faire l’objet d’une demande préalable auprès de la CNIL.
Depuis le RGPD, sauf sous certaines conditions particulières, il n’est plus nécessaire de faire de demande préalable auprès de la CNIL.