Un registre des applications est-il obligatoire sous le RGPD ?

Le RGPD n'exige pas explicitement un registre des applications, mais bien un registre des traitements (Article 30). Le registre des applications en est le fondement pratique.

Combien de systèmes une PME moyenne utilise-t-elle ?

Plus que vous ne le pensez. Une PME de 10 à 50 employés utilise en moyenne 20 à 40 outils traitant des données personnelles.

Faut-il un accord de sous-traitance pour chaque système ?

Pour chaque fournisseur qui traite des données personnelles pour votre compte, un accord de sous-traitance (DPA) est nécessaire. Votre registre vous aide à repérer les accords manquants.

Comment maintenir le registre à jour ?

Vérifiez au moins deux fois par an. Ajoutez chaque nouveau système immédiatement. GDPRWise envoie des rappels pour la révision.

Registre des Applications - Quels Systèmes Traitent des Données Personnelles ? (RGPD)

Un registre des applications répertorie tous les systèmes et outils qui traitent des données personnelles dans votre organisation. Il soutient votre registre des traitements et est indispensable en cas de violation de données.

Qu’est-ce qu’un registre des applications ?

Un registre des applications est un inventaire de tous les systèmes, logiciels et outils qui traitent des données personnelles dans votre organisation - du CRM au logiciel de comptabilité, en passant par la messagerie et le stockage cloud.

La différence avec le registre des traitements : le registre des traitements décrit les activités (ce que vous faites avec les données et pourquoi). Le registre des applications décrit les moyens (quels systèmes vous utilisez). Ensemble, ils forment un tableau complet.

Pourquoi en avez-vous besoin ?

1. Il soutient votre registre des traitements

Votre registre des traitements doit mentionner les systèmes impliqués. Sans registre des applications, vous devinez à chaque mise à jour.

2. Il est essentiel en cas de violation

Lors d’une violation de données, vous devez rapidement déterminer quels systèmes sont touchés. Vous disposez de 72 heures pour notifier l’autorité de contrôle.

3. Il rend les accords de sous-traitance gérables

Votre registre montre d’un coup d’œil où vous avez déjà un DPA et où il en manque un.

Que documenter par système

Champ	Description	Exemple
Nom	Nom du système	HubSpot CRM
Fournisseur	Nom de l’entreprise	HubSpot Inc.
Catégorie	Type de système	CRM
Types de données	Quelles données sont traitées	Nom, email, téléphone, historique
Personnes concernées	À qui appartiennent les données	Clients, prospects
Localisation	Où les données sont stockées	UE (Francfort)
DPA	Accord de sous-traitance en place	Oui, signé le 15-03-2024
Responsable interne	Qui gère ce système	Équipe marketing

Exemple pratique

Système	Fournisseur	Types de données	Localisation	DPA
Google Workspace	Google LLC	Email, documents, agenda	UE	Oui
Exact Online	Exact	Factures, données clients, données bancaires	NL	Oui
Mailchimp	Intuit Inc.	Email, nom, données comportementales	US (SCC)	Oui
Slack	Salesforce	Messages, fichiers	US (SCC)	Non - action requise

L’entrée Slack révèle immédiatement un accord manquant. C’est précisément la valeur du registre.

Comment commencer

Inventoriez tous les systèmes. Parcourez chaque département et demandez quels outils sont utilisés
Vérifiez vos factures. Votre comptabilité montre les logiciels pour lesquels vous payez
Scannez votre site web. GDPRWise détecte automatiquement les services externes utilisés
Documentez chaque système. Remplissez les champs décrits ci-dessus
Vérifiez les accords de sous-traitance. Contrôlez si un DPA existe pour chaque système

auto_awesome GDPRWise detecte vos systemes automatiquement

Scannez votre site web et GDPRWise cartographie automatiquement les services externes qui traitent des donnees personnelles.

Lancez votre scan gratuit

Registre des Applications : Quels Systèmes Traitent des Données Personnelles ?