Le registre de traitement

De nombreuses entreprises proposent des logiciels, installés en local ou en mode SaaS, et laissent sous-entendre ou même affirment dans leur présentation commerciale qu’ils sont LA réponse simple à une mise en conformité facile au RGPD. Plutôt attrayant !

Elles peuvent utiliser des formules du type « METTEZ VOUS EN CONFORMITE AVEC LE RGPD EN TOUTE SIMPLICITE EN UTILISANT NOS SERVICES »

Alors qu’en est-il vraiment ?

Rappelons d’abord que la mise en conformité au RGPD est un ensemble de centaines d’éléments et que le registre de traitement n’est qu’un de ces éléments.

D’autres questions se posent également, telles que:

Qui, comment et avec quelle traçabilité démontrée pourrait avoir accès au registre voire plus si le logiciel est installé en local ?

Pour rappel, en informatique, un administrateur a accès à tout !

En local et en mode SaaS y a-t-il un chiffrement pour contribuer à protéger le registre ?
Une sauvegarde du registre en mode Saas est-elle faite ? Est-elle chiffrée ? Comment … ?

Par ailleurs il serait prudent d’apporter la plus grande vigilance aux mentions légales (dirigeant(s), domiciliation de l’entreprise, CGV, CGU, mentions légales, charte de protection des données…).

Il est aussi possible que des failles de sécurité soient présentes soit à cause d’erreur(s) dans les développements d’origine, soit implantées volontairement dans les codes, entrainant finalement la mise en danger de l’ensemble des données contenues dans le registre.

Alors faites confiance, mais vérifiez tout de même …

Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées.

De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.