RGPD/GDPR : focus sur le registre des activités de traitement

GDP-RGPD registre traitements

Susceptibles d’être contrôlées à tout moment par la CNIL, les entreprises, administrations et autres associations doivent pouvoir prouver à tout moment leur conformité en matière de protection des données à caractère personnel. À cet effet, elles ont l’obligation de tenir un registre de leurs activités de traitement qui devra être renseigné de manière très précise et rigoureuse. Ses rédacteurs ont ainsi pour principal objectif de se conformer à l’article 30 du Règlement Général relatif à la Protection des Données personnelles (RGPD) du Parlement européen et du Conseil, lequel décrit clairement toutes les informations qui nécessitent d’y être consignées.

Rappel : à quoi correspond le registre des activités de traitement ?

La CNIL évoque une cartographie des traitements de données personnelles. Il s’agit d’un document qui recense en détail tous les traitements effectués sur les données personnelles collectées. Par traitement, il faut entendre toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, la modification, l’extraction, l’utilisation, la communication ou encore la simple consultation des données.

Le registre peut être élaboré par différentes personnes : le responsable direct du traitement, le DPO (Data Protection Officer ou Délégué à la Protection des données) s’il y en a un, ou encore le sous-traitant. Ce document n’a pas vocation à être rendu public. Toutefois, pour les organismes du secteur public, ceux-ci sont tenus de le communiquer à toute personne qui en fait la demande. Pour les organismes privés, ceux-ci ne sont pas tenus de le communiquer, bien qu’ils puissent décider d’en faire la communication aux personnes qui en font la demande.

Les autorités de contrôle, quant à elles, comme la CNIL sont en mesure de pouvoir le consulter sans aucune difficulté, quand elles le souhaitent, à l’occasion d’une simple vérification de conformité au règlement, ou alors à la suite d’un litige, notamment consécutif à une fuite de données. La constitution de ce registre répond au nouveau principe de responsabilité mis en avant par le RGPD.

Comment constituer un registre?

Rassembler les informations disponibles

• Identifier et rencontrer les responsables opérationnels des différents services susceptibles de traiter des données personnelles
• Analyser le site web et identifier les données collectées dans les formulaires en ligne
• Utiliser la liste des traitements déclarés à la CNIL dans le cadre des anciennes obligations incombant aux entreprises
• Se référer aux différentes normes simplifiées élaborées par la CNIL

Élaborer la liste des traitements

• Lister les différentes activités nécessitant le traitement de données personnelles
• Exploiter les informations collectées lors des entretiens
• Remplir une fiche de registre par finalité de traitement des données personnelles

Affiner/préciser

• Sur la base de ce registre, identifier et analyser les risques qui peuvent peser sur les traitements de données mis en œuvre
• Élaborer un plan d’action de mise en conformité RGPD
• Mettre à jour le registre

Conformité RGPD

Le contenu d’un registre des activités de traitement

Un registre des activités de traitement correctement renseigné constitue un gage de transparence et de sérieux qui peut fortement impacter l’image de marque. Encore faut-il que les bonnes informations y soient retranscrites. Afin de pouvoir guider les responsables de traitement dans leur tâche de rédaction, la CNIL propose une liste de questions simples servant de fil conducteur…

• quelle est la personne responsable des traitements ? Préciser son nom et ses coordonnées, ainsi que celles du représentant, du DPO et des sous-traitants, s’il y en a.
• dans quel but les données à caractère personnel sont-elles collectées ? Notifier toutes les finalités de façon très précise (constitution d’un fichier du personnel, d’une liste de fournisseurs, etc.)
• quelle sont les catégories de personnes visées par les traitements (employés, clients, adhérents, patients, etc.) ? Et quelles sont les catégories de données récoltées (noms, coordonnées, photos d’identité, numéros de téléphone, CV, bulletins de salaires, plaques d’immatriculation, habitudes de consommation, adresses IP, etc.) ?

Ne pas oublier de spécifier les données sensibles
• où seront localisées les données ? Quelle sera leur destination finale et qui va les gérer ? Lister tous les destinataires
• y-a-t-il des transferts hors de l’Union européenne ? Si oui, préciser les noms des destinataires et leur pays d’origine
• quelle sera la durée de conservation des données ? Préciser leur délai d’effacement, lequel peut différer d’une catégorie à l’autre
• quelles mesures de sécurité sont prévues pour protéger les données (empêcher les accès non autorisés, limiter les risques de violation, etc.) ? Détailler les différents dispositifs mis en place, tant techniques qu’organisationnels

À quelle fréquence faut-il mettre à jour le registre ?

Le registre doit être mis à jour régulièrement en fonction des évolutions fonctionnelles et techniques des traitements de données. En pratique, cela concerne toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre :

• nouvelle donnée collectée
• allongement de la durée de conservation
• nouveau destinataire du traitement, etc…

Y a-t-il des exceptions ?

En principe, les PME comptant moins de 250 employés ne sont pas tenues de constituer ce type de registre, sauf dans certains cas :
• si les traitements sont habituels (constitution de fichiers clients, de fichiers du personnel, etc.) et non occasionnels.
• si les droits et libertés des personnes visées par les traitements sont susceptibles d’être menacés (risque de discrimination, etc.).
• si les données collectées sont considérées comme sensibles (informations médicales, raciales, politiques, religieuses, ou encore judiciaires).

Si au moins l’une des conditions décrites ci-dessus est vérifiée, la tenue d’un registre des activités de traitement est rendue obligatoire, même pour les petites structures inférieures à 250 personnes.

Registre non renseigné : les sanctions possibles

En cas d’omission pure et simple, la CNIL peut être amenée à prononcer une sanction financière à l’encontre de l’entreprise qui n’a pas respecté cette clause du RGPD. La peine encourue peut s’élever jusqu’à 2% du chiffre d’affaires mondial annuel. Sinon, des mises en demeures publiques peuvent également être adoptées à l’égard des contrevenants.

Pour aller plus loin :

Make IT Safe, solution d’accompagnement à la mise en conformité