Modele registre de traitement cnil

La CNIL adaptera et complète les outils ci-dessus lorsque les directives pertinentes du RGPD seront publiées par le groupe de travail de l`article 29. Pour la deuxième étape, il est recommandé aux organisations d`identifier, en détail, leurs activités de traitement des données. Ils peuvent le faire en préparant et en maintenant un registre des activités de traitement des données. La méthodologie de la CNIL note que, dans le cadre du RGPD, les organisations devront conserver la documentation interne complète de leurs activités de traitement des données. La méthodologie de la CNIL propose un registre des modèles. (1) la stratégie de la CNIL en ce qui concerne les formalités préliminaires en suspens d`une part, la CNIL n`exigera pas l`exécution immédiate d`une analyse d`impact sur la protection des données pour les opérations de traitement qui ont été régulièrement notifiées ou enregistrées auprès de la CNIL avant le 25 mai 2018 (par exemple, une déclaration normale ou une approbation préalable) ou qui figurent dans la liste des activités de traitement du DPD, à moins que cette opération de traitement ne présente un risque élevé, auquel cas la CNIL s`attend à ce que le contrôleur de données effectue une DPIA dans un délai raisonnable et au plus tard 3 ans à compter du 25 mai 2018. Examen des contrats existants et des clauses types le RGPD dicte strictement le contenu d`un accord de traitement des données (voir article 28.) La CNIL avertit que tous les contrats existants devront être conformes à ces nouvelles règles au 25 mai 2018. La CNIL recommande donc aux transformateurs de commencer, aujourd`hui, d`examiner et de mettre à jour leurs contrats existants. La CNIL suggère également de mettre en œuvre ces modifications par des modifications distinctes qui stipulent expressément qu`elles ne deviendront effectives que le 25 mai 2018. En ce qui concerne les DPIAs, la CNIL prépare une liste des opérations de traitement qui font l`objet d`analyses d`impact obligatoires et une autre liste d`opérations de traitement pour lesquelles, au contraire, aucune DPIA n`est exigée.

Ces listes seront publiées prochainement et devraient permettre aux contrôleurs d`évaluer plus facilement s`ils doivent ou non effectuer une DPIA. Dans l`intervalle, la CNIL a défini une stratégie claire pour la vérification des activités de traitement des données selon qu`une entreprise a effectué des formalités préalables avant l`arrivée en vigueur du RGPD.