L’instauration du RGPD dans toute l’Union européenne au cours du mois de mai 2018 a demandé aux entreprises de se mettre en conformité. Chaque organisation se tient responsable des dispositifs mis en place de la collecte des données personnelles d’individus jusqu’à leurs utilisations. Parmi les documents qui doivent être tenus pour le respect du Règlement Général sur la Protection des Données, le registre des activités de traitements fait partie des démarches indispensables.
Objectifs du registre de traitement
Le registre de traitement permet de responsabilité les organisations. Auparavant, il était demandé de réaliser des déclarations auprès de la CNIL pour la collecte, l’archivage et le traitement des données personnelles. Dorénavant, le RGPD basé sur la notion de “accountability” a annulé cette procédure qui est remplacée par la tenue du registre de traitement.
Ce dernier permet de consulter les données utilisées et pour quel usage. C’est un journal où sont identifiées les finalités des informations personnelles enregistrées. Il permet de contrôler la conformité au RGPD des différentes solutions mises en place pour le respect de la vie privée et la sécurisation des données.
Êtes-vous concerné par la tenue du registre des traitements ?
Une même organisation, entreprise privée ou institution publique, peut être à la fois responsable de traitement et le sous-traitant. En effet, selon son activité, elle est à la fois responsable des données personnelles collectées au sujet de ses salariés, et celles relatives aux clients.
Ainsi, un prestataire de téléphonie par IP est à la fois responsable du traitement des informations relatives à son personnel. Mais en tant que sous-traitant pour d’autres entreprises qui achètent la solution de voip, ils doivent respecter les obligations légales qui concernent les sous-traitants de responsable de traitement.
Le registre de traitement est énoncé par le RGPD comme étant facultatif pour les entreprises dont l’effectif est ingénieur à 250 salariés. Cependant, cette consigne est à prendre avec du recul, car la lecture de l’ensemble des textes juridiques permet de se rendre compte que c’est une exception peu souvent applicable. En ce sens, il est conseillé de tenir dans tous les cas un registre des activités de traitement.
Bien entendu, les contrôles réalisés dans le cadre du RGPD par la CNIL impliquent la tenue à jour des registres au cours de l’activité de l’entreprise.
Mettre en place le registre des activités de traitements
La tenue du registre des activités de traitements fait partie des missions du DPO (Data Protection Officer), ou Délégué à la Protection des Données. Ce dernier a pour fonction de s’assurer de la conformité de son organisation pour la protection des données. Interlocuteur privilégié pour la CNIL, son travail de sensibilisation et de suivi des procédures permet entre autres la mise en place du registre des traitements.
Les mentions obligatoires du registre de traitement
Parmi les informations qu’il faut à tout prix faire figurer dans le registre de traitements, vous devez mentionner :
- le nom et les coordonnées du responsable de traitement, et du sous-traitant
- la finalité du traitement
- les individus concernés
- les catégories concernées par les individus
- les destinataires des données, s’il y a un transfert vers un autre pays ou une organisation internationale
- le délai de conservation et l’échéance à laquelle il y aura un effacement
- les mesures techniques et opérationnelles pour assurer la sécurisation des données.
Les sous-traitants doivent également mentionner les catégories de traitement, mais ils sont exemptés de l’obligation de nommer les destinataires des données, leurs finalités, ainsi que les délais de conservation et d’effacement.
Dans tous les cas, ce sont des informations qui doivent être tenues à jour pour chaque traitement de données personnelles.
Le format du registre des traitements
En principe, le format du registre n’est pas soumis à une réglementation particulière. Tant que les mentions obligatoires sont présentes, alors le registre devrait respecter les exigences du RGPD. Cependant, la CNIL fournit aux organisations responsables de traitements un modèle qui peut être aisément repris. Selon les résultats de votre étude d’impact et les méthodologies que vous avez choisies pour structurer les données personnelles, le registre n’est pas forcément le même. En revanche, il est judicieux d’opter pour un format numérique qui permet alors une certaine souplesse également. Les mises à jour sont plus faciles à mettre en œuvre. Bien sûr, le registre doit lui-même être sécurisé pour ne pas risquer la fuite de données relatives à des individus.
La tenue du registre des traitements est préconisée pour tous les responsables de traitements et les sous-traitants. Mis à jour de façon régulière, il permet de clarifier l’usage fait des différentes informations personnelles collectées. C’est à la fois un journal et un outil de contrôle.
