Le responsable de traitement RGPD ou bien le DPO aura pour mission de recenser toutes les activités de votre structure qui utilisent des données personnelles : recrutement (CV), paie, facturation, dossiers personnels des salariés, outils CRM et prospection commerciale, site internet, centre d’appels etc.
Le registre doit comporter :
- Le nom et les coordonnées du/des responsable(s) du traitement et du DPO et toute autre personne qui prend part au traitement des données
- Les catégories de personnes concernées : clients, prospects, salariés, fournisseurs etc.
- Les catégories de données en question : identitaires, professionnelles, comportementales et d’interaction liées à la vie personnelle, économiques et transactionnelles, judiciaires, données sensibles etc.
- Le but, la finalité de l’utilisation et du traitement des données (ex : enquête de satisfaction, fidélisation client…)
- Les services internes et externes de l’entreprise ayant accès aux données (ex : département RH, service informatique, filiales, partenaires, sous-traitants, hébergeurs etc.)
- Les règles et garanties prévues en cas de transferts de données vers un pays hors U.E ou vers une organisation internationale
- La durée de conservation des données
- Les mesures de sécurité prévues pour protéger les données (contrôle d’accès avec identifiant, date et heure de connexion etc.)