Mon entreprise individuelle a-t-elle besoin d'un registre RGPD ?

Oui, si vous traitez des donnees personnelles (e-mails de clients, contacts de fournisseurs, ou meme vos propres donnees via des systemes professionnels), l'obligation de registre s'applique. La taille de votre entreprise ne change pas la regle, seulement la facon de tenir le registre.

J'ai moins de 250 employes, suis-je exempt ?

Tres probablement non. L'exemption de l'article 30(5) RGPD ne s'applique que si votre traitement est occasionnel, ne contient pas de categories particulieres (sante, biometrie, etc.), et ne presente pas de risque pour les droits des personnes. En pratique, toute entreprise qui traite regulierement des donnees clients ou personnel sort du cadre de l'exemption.

Sous quel format le registre doit-il etre tenu ?

Aucun format n'est impose. Excel, Word, une base de donnees ou un outil comme GDPRWise sont tous acceptables. Ce qui compte est que le registre soit a jour, complet, et puisse etre presente a l'autorite de controle sur demande.

Qui peut consulter mon registre ?

L'autorite nationale de protection des donnees peut le demander lors d'un controle ou apres une plainte. En interne, votre DPO (s'il est nomme) et les responsables de la conformite doivent y avoir acces. Il n'a pas a etre public.

Registre RGPD Obligatoire ? Reponse Rapide pour PME

Oui, presque toutes les entreprises. L'exemption pour les 'moins de 250 employés' s'applique rarement en pratique. Voici ce que doit contenir le registre et comment commencer.

La reponse courte

Oui. Si vous traitez des donnees personnelles de clients, d’employes ou de fournisseurs, vous avez besoin d’un registre RGPD, aussi appele registre des activites de traitement ou RoPA. C’est exige par l’article 30 du RGPD, et l’obligation s’applique des que vous avez votre premier client, fournisseur ou employe.

Le mythe des ‘moins de 250 employes’

L’article 30(5) semble exempter les organisations de moins de 250 employes. En pratique, l’exemption s’applique rarement car elle comporte trois exceptions, et presque toutes les entreprises tombent dans au moins une :

Le traitement est plus qu’occasionnel. Envoyer des factures a des clients reguliers, payer le personnel chaque mois, conserver les contacts des fournisseurs, ce sont toutes des activites regulieres, pas occasionnelles.
Vous traitez des categories particulieres. Donnees de sante, biometriques, donnees concernant des mineurs, ou tout ce qui releve de l’article 9 vous disqualifie.
Le traitement peut presenter un risque. Profilage clients, automatisation marketing, surveillance des employes, et activites similaires entrent dans cette categorie.

L’exemption etait concue pour des cas tres etroits, comme une action ponctuelle d’une association caritative. Si vous exploitez une vraie entreprise avec des clients reguliers et des employes, considerez que le registre s’applique a vous.

Ce que le registre doit contenir

Selon l’article 30(1), le registre doit lister chaque activite de traitement avec :

Qui : les donnees de qui vous traitez (clients, personnel, fournisseurs, partenaires)
Quoi : les categories de donnees personnelles (nom, e-mail, adresse, donnees de paiement, etc.)
Pourquoi : la finalite du traitement (facturation, recrutement, marketing, etc.)
Base legale : consentement, contrat, obligation legale, interet legitime, etc.
Destinataires : quels tiers recoivent les donnees, et s’ils sont dans ou hors de l’UE
Conservation : combien de temps vous gardez chaque categorie
Securite : les mesures techniques et organisationnelles en place

Tenez des registres separes pour les activites ou vous etes responsable du traitement (vous decidez pourquoi et comment les donnees sont traitees) et celles ou vous etes sous-traitant (vous traitez les donnees pour le compte d’autrui).

Que se passe-t-il sans registre

L’autorite de controle peut demander votre registre lors d’un controle ou apres une plainte. Si vous ne pouvez pas le presenter, c’est en soi une violation du RGPD. Des amendes pour registres manquants ou incomplets ont deja ete infligees dans toute l’UE, y compris a des PME. Au-dela de l’amende, le registre est aussi votre boussole interne : sans lui, vous ne pouvez pas traiter les demandes des personnes concernees, gerer les violations ni demontrer la conformite.

Comment commencer

Vous avez trois options :

Le construire vous-meme dans un tableur. Gratuit, mais lourd a maintenir et facilement incomplet.
Engager un consultant. Approfondi, mais couteux et dependant de leur disponibilite.
Utiliser un outil comme GDPRWise. La plateforme pose les bonnes questions par secteur, genere le registre a partir de vos reponses, et le maintient a jour.

auto_awesome Generez votre registre RGPD en quelques minutes

GDPRWise scanne votre site, pose les bonnes questions pour votre secteur, et produit un registre article 30 complet, pret a presenter a l'autorite de controle.

Demarrer un scan gratuit