Publié le  , Catégories Actess

Le Groupe Si2A vous accompagne sur toute problématique RGPD :)

2019-RGPDVous souhaitez réagir sur cet article ou poser une question ?

Écrivez-nous à « commercial@groupe-si2a.com ».

Le groupe Si2A vous accompagne sur toute problématique RGPD.

N’hésitez pas à nous solliciter pour toute étude !

Thématique : RGPD

Sujet : Questions fréquentes sur les traitements au sens du RGPD

Que dois-je faire lors d’un nouveau traitement ?

Le RGPD responsabilise les acteurs (tous concernés par des données à caractère personnel) et depuis sa mise en application le 25 mai 2018, vous devez consigner ce nouveau traitement dans le registre des traitements en vous assurant de respecter le RGPD.

Autrement dit, ne vous contentez pas de consigner dans le registre !

Bien que vous n’ayez plus de déclaration à faire auprès de la CNIL, votre responsabilité est pleine et entière !

Que dois-je faire lors de l’acquisition d’un nouveau logiciel ?

Pour le RGPD, nous abordons ici un logiciel qui traite des données à caractère personnel.

Autrement dit, un logiciel qui ne traite aucune donnée à caractère personnel n’entre pas trivialement dans le périmètre du RGPD.

Avant l’acquisition d’un nouveau logiciel, assurez-vous auprès de l’éditeur que son logiciel est conforme aux exigences du RGPD, essentiellement, qu’il protège correctement les données à caractère personnel.

La mise en route d’un nouveau logiciel n’est pas à proprement parler un traitement au sens RGPD.

Ce sont les traitements qui seront effectués sur des données à caractère personnel par un nouveau logiciel qui seront consignés dans le registre des traitements.

Le logiciel est un outil, un moyen pour traiter les données à caractère personnel.

Indirectement, votre nouveau logiciel apparaîtra dans les traitements sur les données à caractère personnel qu’il traite.

Est-ce que je dois inscrire dans mon registre un traitement effectué par un prestataire ?

Si vous faîtes appel à un prestataire (sous-traitant pour le RGPD), c’est que vous le mandatez pour effectuer un traitement pour vous.

Très probablement, ce traitement externalisé fait partie d’un traitement plus global.

Ce traitement global sera consigné dans votre registre et vous indiquerez le sous-traitant pour la partie déléguée.

Votre sous-traitant consignera dans son registre le traitement que vous lui demandez d’effectuer.

Votre sous-traitant a obligation (comme vous) de tenir un registre (qui n’est pas le même que le vôtre).

Notez qu’un hébergeur est un sous-traitant.

Prenons l’exemple d’un sous-traitant à qui vous confiez l’établissement des bulletins de salaire.

  1. Votre service RH est responsable de la transmission des données confiées au sous-traitant et nécessaires à l’établissement des bulletins de salaire.
  2. Le sous-traitant est responsable des données reçues et des traitements qu’il va effectuer pour établir les bulletins de salaire.
  3. Le sous-traitant est responsable de l’envoi des bulletins de salaire établis qu’il retourne à votre service RH.
  4. Votre service RH est responsable de la distribution des bulletins de salaire auprès du personnel.

Votre traitement : Gestion et distribution des bulletins de salaire est dans votre registre

Le traitement du prestataire : Établissement des bulletins de salaire est dans son registre.