Une autorité indépendante française, la CNIL ou Commission nationale de l’informatique et des libertés, a été créée le 6 janvier 1978. Elle a mis à la disposition des entreprises divers outils pouvant les aider à mieux comprendre et à appliquer le règlement en vigueur. L’un de ces outils est le registre des activités de traitement servant à documenter leur conformité au RGPD. Lisez notre fiche pratique pour connaître les informations utiles concernant ce registre de traitement.
Le registre des activités de traitement : les essentiels à savoir
Le registre de traitement
Le registre des activités de traitement, couramment appelé registre de traitement, est un document de recensement et d’analyse utile pour la mise en conformité au RGPD. Il reflète la réalité des traitements des données personnelles effectuées par le responsable de traitement des données à caractère personnel (DCP). C’est un outil de pilotage et de maîtrise de la conformité permettant d’identifier et de documenter les traitements de données. Si vous cliquez ici, vous pouvez connaître les obligations relatives à la constitution de ce registre.
Quelques définitions utiles
La CNIL est le régulateur des données personnelles dans l’univers du numérique en accompagnant les professionnels dans leur mise en conformité. Elle aide également les particuliers à exercer leurs droits dans la maîtrise de leurs données personnelles. Le RGPD (Règlement général sur la protection des données) est le nouveau règlement appliqué aux traitements de DCP au travers des bases de données. Il concerne tous ceux qui collectent, stockent et traitent des DCP. Une donnée à caractère personnel ou DCP ou simplement donnée personnelle indique toute information relative à une personne physique, directement ou indirectement : nom, prénom, numéro de téléphone, adresse, etc.
Les objectifs du registre de traitement
Le principal objectif du registre de traitement est de recenser de manière claire l’ensemble des traitements de données. Ce registre permet d’avoir une vue générale des pratiques mises en œuvre avec les données personnelles. Ainsi, sa création et sa mise à jour ont pour but d’identifier et de hiérarchiser les risques par rapport au RGPD.
Un registre de traitement, pour qui ?
Tout organisme, privé ou public, quelle que soit sa taille, traitant des données personnelles des ressortissants européens, est obligé de tenir un registre des activités de traitement. Les responsables de traitement et les sous-traitants de DCP sont également les plus concernés par cette obligation. Par ailleurs, ce registre est aussi obligatoire pour toute entreprise qui emploie plus de 250 salariés. Pourtant, si elles ont moins de 250 salariés, elles ne sont pas exemptées de ce registre dans les cas mentionnés ci-après :
- un traitement non occasionnel de DCP quel que soit le nombre d’employés ;
- un traitement des données dites « sensibles » ;
- un traitement de données susceptibles d’induire une violation des droits et libertés individuelles de la personne concernée par le traitement ;
- un traitement relatif à des infractions et à des condamnations pénales.
Comment rédiger un registre de traitement ?
Les outils de conception d’un registre de traitement
La rédaction d’un registre de traitement est chronophage. Il importe d’utiliser des outils pratiques et efficaces pour créer facilement un registre écrit, clair, précis et à jour. Le registre de traitement peut être rédigé à la main ou fait avec un logiciel de gestion du registre RGPD. Pour ces deux outils, le problème réside sur l’établissement de la liste des traitements de données personnelles et de l’écrire. L’idéal est de choisir le logiciel qui vous fera économiser du temps et qui génère une valeur à l’entreprise.
Les étapes à suivre pour constituer le registre
Quand vous avez identifié l’outil approprié à vos activités, voici les étapes de rédaction d’un registre de traitement :
- identifiez l’ensemble des activités principales pour faire la collecte des données (recrutement, statistiques de vente, gestion de la paie, gestion des badges et des accès, …) ;
- communiquez avec le personnel de votre entreprise susceptible de traiter des DCP ;
- mettez à jour la liste des traitements de données personnelles mise en œuvre ;
- concevez et complétez le registre de l’entreprise avec les traitements recensés.
Les informations contenues dans le registre
Dans un organisme qui traite des données personnelles, il peut agir comme responsable de traitement ou en tant que sous-traitant. Il est aussi possible qu’il agisse avec ces deux activités, ainsi, il importe de distinguer un registre pour ces deux catégories. Pour le responsable de traitement (RT), le registre de traitement doit comporter les informations mentionnées ci-après :
- le nom et les coordonnées du RT (de son représentant pour une entreprise non établie au sein de l’Union européenne) ;
- l’identité complète (nom et coordonnées) du délégué à la protection de données ;
- les responsables des services opérationnels qui assurent le traitement des données personnelles ;
- la liste des sous-traitants (ST) s’il y en a ;
- le fondement juridique du traitement et ses finalités ainsi que les délais de conservation des données traitées (dans la mesure du possible) ;
- une description des catégories de données à caractère personnel et des personnes concernées ;
- les catégories de destinataires à qui communiquer les DCP ;
- le lieu où les données à traiter sont hébergées ;
- l’identification du pays et les documents attestant l’existence des garanties appropriées lors des transferts de DCP vers un pays hors Europe ;
- la description générale des mesures organisationnelles et techniques mises en œuvre pour minimiser les risques d’accès non autorisés.
Pour le registre du sous-traitant (ST), son contenu est plus limité par rapport au précédent et ne doit pas renseigner :
- le nom et les coordonnées du RT, mais les siens ;
- les finalités du traitement ou les délais de conservation des données traitées ;
- une description des personnes concernées et des destinataires.
Le fondement juridique du traitement des DCP
L’établissement d’un registre de traitement doit être conforme juridiquement au consentement de la personne concernée. Effectivement, le traitement des DCP n’est justifié ni légal que s’il est nécessaire pour une ou plusieurs finalités spécifiques comme :
- l’exécution d’un contrat ou d’une mission d’intérêt public ;
- le respect d’une obligation légale relative aux missions du RT ;
- la sauvegarde des intérêts vitaux de la personne concernée ;
- son utilité aux fins légitimes menés par le RT.
L’importance d’un registre des activités de traitement pour une entreprise
Une entreprise ayant un registre de traitement à jour profite de multiples avantages pour développer ses activités. Grâce à ce registre, elle peut :
- sélectionner les données adéquates, pertinentes et limitées à collecter et à traiter ;
- vérifier si les données collectées sont sensibles et susceptibles de causer des risques à la personne concernée ;
- contrôler la confidentialité de l’accès aux données qui doit être réservé aux seules personnes habilitées ;
- identifier le prestataire ST en actualisant les clauses de confidentialité (rôle du RT) ;
- mettre en œuvre les mesures techniques et organisationnelles d’accès aux données traitées ;
- démontrer la conformité des traitements à l’ensemble des obligations imposées par le règlement.
Qui est responsable de la constitution et de la mise à jour du registre des activités de traitement ?
Les acteurs
Un registre de traitement doit toujours être présenté sous forme écrite, sur un support électronique ou papier. Les acteurs principaux dans la réalisation et la mise à jour de ce registre sont :
- le délégué à la protection des données (DPD ou DPO) : le chef d’orchestre de la conformité au RGPD ;
- les référents informatique et liberté (RIL) : désignés dans chaque service ;
- le responsable de la sécurité des systèmes d’informations (RSSI) : expert en mesure de sécurité appliquée ;
- les sous-traitants, les représentants et les coresponsables, etc.
La mise à disposition du registre des activités de traitement
Le RGPD stipule que le registre de traitement doit être communiqué à la CNIL ou à une autorité de contrôle sur demande. S’il est tenu par un organisme privé ou public, voici le mode de communication autorisé ou non :
- les organismes du secteur public doivent communiquer le registre à tout ce qui le demande, sauf les informations sensibles ou à risques ;
- les organismes du secteur privé ne doivent pas divulguer le registre au public qu’à quelques exceptions près (opportun pour le demandeur).