Le registre des activités de traitement

Fondamental

Tout organisme, public comme privé, et quelque soit sa taille, est dans l'obligation de tenir un registre des traitements dès lors qu'il traite des données à caractère personnel.

L'obligation de tenue du registre est définie par l'article 30 du RGPD[1].

Il doit recenser l'ensemble des traitements de données à caractère personnel mis en œuvre par l'organisme, qu'il soit responsable de ces traitements ou sous-traitant. Il s'agit d'un élément majeur participant à la documentation de la conformité au RGPD de l'organisme.

Comme le précise la CNIL sur sa page dédiée au registre[2], ce dernier doit aussi être vu comme un document de recensement et d'analyse permettant d'identifier précisément :

  • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,

  • les catégories de données traitées,

  • à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,

  • combien de temps vous les conservez,

  • comment elles sont sécurisées.

L'établissement du registre des activités de traitement est également l'occasion de se poser les bonnes questions qui participeront à l'identification des risques au regard du RGPD, à leur hiérarchisation et à la définition d'un plan d'action pour la mise en conformité des traitements.

  • Ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ?

  • Est-il pertinent de conserver toutes les données aussi longtemps ?

  • Les données sont-elles suffisamment protégées ?

  • Etc.

Ce registre doit être tenu à jour sans délai et tout nouveau traitement, ou toute modification à un traitement existant, doit y être documenté.

Remarque

Les organismes de moins de 250 salariés disposent d'une dérogation par laquelle il ne sont obligés à inscrire au registre que :

  • les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;

  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)

  • les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

Cette dérogation s'applique donc uniquement à des traitements occasionnels ne présentant aucun risque pour les personnes concernées. En cas de doute sur l'application de cette dérogation à un traitement, la CNIL recommande de l'intégrer au registre[2].

Méthode

Contenu du registre du responsable de traitement :

Outre le nom et les coordonnées de l'organisme ainsi que l'identification du délégué à la protection des données, chaque activité de traitement doit faire l'objet d'une fiche comportant au minimum (cf. page dédiée au registre[2] sur le site de la CNIL) :

  • le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre

  • les finalités du traitement, l'objectif en vue duquel vous avez collecté ces données

  • les catégories de personnes concernées (client, prospect, employé, etc.)

  • les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)

  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez

  • les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;

  • les délais prévus pour l'effacement des différentes catégories de données, c'est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer

  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre

La forme du registre :

Le RGPD impose uniquement que le registre se présente sous une forme écrite. Le format du registre est libre et peut être constitué au format papier ou électronique.

La CNIL propose un modèle de registre de base dans sa page dédiée au registre[2]. Il est destiné à répondre aux besoins les plus courants, plus principalement pour de petites structures.

Attention

Le registre des activités de traitement est un document administratif, communicable à tous, au sens du code des relations entre le public et l'administration. Les organismes publics sont donc tenus de le communiquer à toute personne en faisant la demande.

Cependant, comme indiqués aux chapitres consacrés aux critères de restriction d'accès aux documents administratifs (activités régaliennes de l'état, intérêt général et secrets, critères applicables aux autres documents administratifs), les information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d'information, doivent être occultées.

Complément

Voir la page dédiée au registre des activités de traitement[2] sur le site de la CNIL.