Modèle de registre de traitement cnil

La CNIL adaptera et complète les outils ci-dessus lorsque les directives pertinentes du RGPD seront publiées par le groupe de travail de l`article 29. Toutefois, en ce qui concerne les nouvelles obligations et droits en vertu du RGPD (droit à la portabilité, aux analyses d`impact, etc.), les inspections de la CNIL se concentreront principalement et initialement sur les entreprises d`accompagnement dans leur compréhension et leur conformité avec le RGPD. Dans les premiers mois qui suivent l`entrée en vigueur du RGPD, lorsqu`une organisation agit de bonne foi et peut démontrer qu`elle s`est engagée dans un programme de conformité et qu`elle est disposée à coopérer avec la CNIL, le but de l`inspection de la CNIL ne devrait normalement pas de sanctionner cette organisation. La troisième étape sera achevée lorsque les organisations auront mis en œuvre des mesures visant à protéger les personnes concernées par leurs activités de traitement des données et ont identifié ces activités de traitement des données qui impliquent un risque pour la vie privée. Comment OneTrust aide OneTrust à offrir une large gamme d`outils et de modules qui aident les organisations à gérer leurs programmes de confidentialité. Pour les organisations agissant en tant que processeurs, le module OneTrust Data Mapping peut les aider à conserver des enregistrements distincts pour leurs propres activités de traitement et celles effectuées pour le compte de leurs clients. Nos autres outils et questionnaires peuvent également aider les transformateurs à s`assurer qu`ils mettent en œuvre de manière adéquate la confidentialité par conception et par défaut dans leurs produits et services et adoptent des mesures de sécurité adéquates. En outre, les outils de gestion des risques des fournisseurs et de gestion des incidents et des failles de OneTrust facilitent la communication entre les contrôleurs et les processeurs comme jamais auparavant, et les aident à partager des informations de manière claire, facile et efficace. La CNIL (Français autorité de protection des données) a publié un modèle pour les registres que les contrôleurs de données et les transformateurs sont tenus de conserver en vertu du règlement général sur la protection des données (RGPD). Les contrôleurs de données et les processeurs devront conserver un registre de leurs activités de traitement des données lorsque le RGPD entrera en vigueur en mai 2018, et le modèle de la CNIL fournit un formulaire que les contrôleurs et les processeurs peuvent utiliser à cette fin. En ce qui concerne les principes fondamentaux de la protection des données qui demeurent fondamentalement inchangés (légalité du traitement, durée de conservation, sécurité des données, etc.), la CNIL continuera de vérifier rigoureusement le respect de ces principes lors de ses inspections . Pour la deuxième étape, il est recommandé aux organisations d`identifier, en détail, leurs activités de traitement des données.

Ils peuvent le faire en préparant et en maintenant un registre des activités de traitement des données. La méthodologie de la CNIL note que, dans le cadre du RGPD, les organisations devront conserver la documentation interne complète de leurs activités de traitement des données. La méthodologie de la CNIL propose un registre des modèles. Après avoir préparé le registre dans la deuxième étape, la méthodologie de la CNIL recommande d`identifier, pour chaque activité de traitement des données, les actions qui devront être mises en œuvre pour se conformer aux obligations actuelles et futures en matière de protection des données. Cette hiérarchisation doit être effectuée, en tenant compte des risques pour les droits et libertés des personnes concernées. D`autre part, les entreprises ne pourront pas bénéficier de ce délai de grâce de 3 ans si une DPIA est exigée parce qu`une activité de traitement donnée est susceptible de présenter un risque élevé: dans le cadre de la cinquième étape, les organisations doivent mettre en œuvre des procédures internes pour garantir les données protection à tout moment, en tenant compte de tous les événements qui peuvent survenir pendant la durée de vie d`une activité de traitement de données (par exemple, une violation de la sécurité des données, la gestion des demandes des personnes concernées, les modifications des données collectées, le changement des fournisseurs, etc.).