Le REGISTRE OBLIGATOIRE DU RGPD:
Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.
MODELE DE REGISTRE A TELECHARGER
Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :
- les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
- les catégories de données traitées,
- à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
- combien de temps vous les conservez,
- comment elles sont sécurisées.
Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD.
Il faut regarder la sécurité du système informatique :
est-ce que les écrans se mettent en veille ?
Les mots de passe sont-ils bien choisis ?
Qui héberge vos données et où ?
Qui a accès aux ordinateurs ?
Le système possède-t-il un antivirus ?
L’objectif est de faire un état des lieux des données personnelles collectées, afin de savoir comment on y accède et où elles se situent.
DPO:
Dans les petites structures, le délégué à la protection des données n’est pas obligatoire.
CAS PARTICULIER: Si votre pharmacie effectue aussi du e-commerce, un délégué à la protection des données est nécessaire, de préférence spécialiste du RGPD (un vrai, pas un arnaqueur). Se renseigner auprès de votre développeur informatique pour obtenir de bonnes adresses.
La désignation d’un Délégué à la protection des données est parfois obligatoire. Le Délégué peut être membre de l’organisation qu’il conseille, ou travailler en tant que consultant extérieur. Il peut aussi être “mutualisé”, lorsqu’un même Délégué est désigné par plusieurs structures. Dans tous les cas, le Délégué doit être doté des moyens pour réaliser sa mission et pouvoir agir de façon indépendante.
La désignation d’un délégué est obligatoire pour :
- Les autorités ou les organismes publics,
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
NDLR: Dans le cas 3, on pourrait supposer que, meme dans une petite structure, le DPO ( Data Protection Officer) soit obligatoire. Imaginons que le Ministre de l’Intérieur soit fidèle à une petite officine de quartier et que les données de l’officine soient piratées et le traitement médicamenteux du Ministre dévoilé sur le net, ne serait il pas reproché au titulaire de n’avoir pas pris en compte l’intervention d’un DPO?