Retour

6 avril 2023

Illustration registre des traitements | DPO Expertises

Le registre des traitements (source CNIL)

C'est QUOI ?

Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles.

Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :

  • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • les catégories de données traitées,
  • à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
  • combien de temps vous les conservez,
  • comment elles sont sécurisées.

Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD. Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.

Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Cette étape essentielle vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données.

La CNIL présente ici les éléments essentiels relatifs au registre et propose également un modèle de base répondant aux conditions posées par le RGPD.

Le Registre des Traitements, la pierre angulaire de la mise en conformité

QUI est concerné ?

L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Certains spécialistes diront que ce n'est pas obligatoire pour les organismes de moins de 250 salariés et qu'il existe des dérogations. Dans les faits il n'en est rien, puisqu'il est impossible de prouver à l'avance que les traitements ne comportent aucun risque pour les droits des personnes et que dans tous les cas c'est obligatoire pour les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;

OBLIGATOIRE pour tous !

Que contient plus précisément le registre ?

Pour chaque activité de traitement, la fiche de registre comportera au moins les éléments suivants :

  • le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre
  • les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données
  • les catégories de personnes concernées (client, prospect, employé, etc.)
  • les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez
  • les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
  • les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre

L’article 30 du RGPD prévoit des obligations spécifiques pour le registre du responsable de traitement de données personnelles et pour le registre du sous-traitant. Si votre organisme agit à la fois en tant que sous-traitant et responsable de traitement, votre registre doit donc clairement distinguer les deux catégories d’activités.

En pratique, dans cette hypothèse, la CNIL vous recommande de tenir 2 registres :

  1. un pour les traitements de données personnelles dont vous êtes vous-même responsable,
  2. un autre pour les traitements que vous opérez, en tant que sous-traitant, pour le compte de vos clients.

Comment le faire ? :

La CNIL fournit des modèles de registres

Si vous n'avais pas la formation, le temps ou l'envie de le faire, n'hésitez pas à faire appel à nos consultants(tes). Ils ou elles iront à l'essentiel et vous donneront les moyens de comprendre et vous proposeront une solution conforme et pragmatique soit pour vous former afin de le faire vous même, soit pour que nous le fassions ensemble sans perte de temps pour vous.