Registre de traitement - Définition et comment le construire
SOMMAIRE
1. Définition - qu'est ce qu'un registre de traitement ?
2. Pourquoi faire un registre des traitements de données de mon entreprise ?
3. Comment faire le registre de traitement de mon entreprise ?
4. Qui est en charge de créer et de tenir à jour votre registre de traitement ?
5. Par où commencer ?
6. Et après ?
1. Définition - qu'est ce qu'un registre de traitement ?
Le registre de traitement est un document obligatoire qui permet de consigner toutes les activités de traitement des données personnelles mises en œuvre par une organisation. [1]
Sa création et sa mise à jour sont l’occasion d’identifier et de hiérarchiser les risques liés à la protection des données et de vous poser les bonnes questions :
🟢 Est ce que je traite les données personnelles de manière licite, loyale et transparente ? [2]
🟢 Les données sont-elles collectées pour des finalités déterminées, explicites et légitimes ? [3]
🟢 Toutes les données sont-elles adéquates, pertinentes et limitées à ce qui est nécessaire ? [4]
🟢 Les données sont-elles exactes et, le cas échéant, tenues à jour ? [5]
🟢 Quelles raisons ou obligations légales justifient la durée de conservation des données ?
🟢 Les données sont-elles suffisamment protégées ?
L’élaboration de ce registre de traitement est une étape essentielle qui vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements et de votre organisation !
2. Pourquoi faire un registre des traitements de données de mon entreprise ?
Le registre de traitement est prévu par l’article 30 du RGPD, c’est donc une obligation légale.
Elle concerne tous les organismes, publics comme privés quelle que soit leur taille[6], dès lors qu’ils traitent des données personnelles.
Chaque organisation doit tenir un registre des activités de traitement des données, documentant les opérations de traitement mises en place sous sa responsabilité. Chaque sous-traitant tient un registre de traitement de toutes les catégories d’activités de traitement effectuées pour le compte du responsable.
En résumé, que vous soyez à l’origine d’un traitement ou que soyez un sous-traitant chargé de son exécution, vous êtes dans l’obligation légale de tenir un registre des activités de traitement.
L'autorité de contrôle (la Commission nationale sur l’informatique et les libertés CNIL), lors d’un éventuel contrôle vous demandera de présenter ce registre de traitement. Si vous n’êtes pas en mesure de lui présenter un document complet et à jour reflétant la réalité des traitements de données mis en œuvre par votre organisme, vous vous exposez à des sanctions.
3. Comment faire le registre de traitement de mon entreprise ?
L’article 30 du RGPD prévoit des obligations spécifiques pour la tenue du registre des activités de traitement en fonction de votre rôle vis-à-vis du traitement. Il faut donc faire la distinction entre :
- Le registre de traitement tenu en tant que responsable de traitement.
- Et le registre de traitement lié à vos activités de sous-traitant ou prestataire.
Pourquoi deux registres de traitement ?
➡ Les informations légales minimales obligatoirement contenues dans le registre des activités de traitementne sont pas les mêmes ! Il est donc recommandé dans un souci de clarté de tenir deux registres de traitement distincts.
Le premier documente vos activités de traitement pour lesquels vous déterminez les finalités et les moyens organisationnels et opérationnels du traitement, lorsque vous êtes responsable de traitement.
Le second documente vos activités de traitement que vous réalisez pour le compte d'un responsable du traitement, lorsque vous êtes sous-traitant ou prestataire.
A noter que nombre d’organisations peuvent ne réaliser aucune opération de traitement en tant que sous-traitant, elles n’auront donc à tenir que leur registre des activités de traitement pour lesquelles elles sont responsables de traitement. Il est beaucoup plus rare que des organisations sous-traitantes n’aient aucune opération de traitement propre à leur organisation ou leur fonctionnement (suivi client, gestion RH…).
Votre registre de traitement doit comporter en introduction :
- le nom et les coordonnées de votre organisme
- le nom et les coordonnées de votre représentant (cas des entreprises hors UE) ou de votre délégué à la protection des données (DPO) si vous en avez nommé un (par obligation légale ou par bonne pratique).
Le registre de traitement sera composé d’une fiche établie pour chacune des activités de traitement. Cette fiche de registre de traitement doit comporter à minima les éléments suivants :
- le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre
- les finalités du traitement
- les catégories de personnes concernées (client, prospect, employé, etc.)
- les catégories de données personnelles (identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
- les délais prévus pour l’effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre
Le registre des activités de traitement du sous-traitant doit également recenser toutes les catégories d’activités de traitement effectuées mais cette fois-ci pour le compte de vos clients. Ce registre de traitement doit aussi comporter le nom et les coordonnées de votre organisme, celui de votre représentant ou de votre DPO.
Pour chaque catégorie d’activité effectuée pour le compte de clients, il doit contenir les éléments minimaux suivants :
- le nom et les coordonnées de chaque client, responsable de traitement, pour le compte duquel vous traitez les données et, le cas échéant, le nom et les coordonnées de leur représentant
- le nom et les coordonnées des sous-traitants auxquels vous-même faites appel dans le cadre de cette activité
- les catégories de traitements effectués pour le compte de chacun de vos clients, c’est-à-dire les opérations effectivement réalisées pour leur compte (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.)
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale. Dans les cas très particuliers[7], les garanties prévues pour encadrer les transferts doivent être mentionnées.
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.
Pour faciliter la tenue de ce registre RGPD, la CNIL propose un modèle de registre de base (format ODS), destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE-PME, associations, petites collectivités, etc.).
Ils permettent de satisfaire au socle d’exigences posées par l’article 30 du RGPD.
La CNIL recommande, dans la mesure du possible, d’enrichir le registre de traitement de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité. En effet, les obligations de documentation prévues par le RGPD ne se limitent pas à l’obligation de tenir un registre des activités de traitement, prévue à l’article 30 du RGPD. Disposer, dans un même document, de toutes les informations relatives aux traitements que vous mettez en œuvre et exigées par le RGPD vous permettra de vous assurer, à chaque instant, de votre conformité aux règles de protection des données ou d’identifier les actions que vous devez mener pour atteindre cet objectif.
- Par exemple, en ajoutant à votre registre de traitement les informations nécessaires pour informer les personnes (base légale du traitement, et selon le cas, fondement juridique du transfert de données vers des pays tiers, droits qui s’appliquent au traitement, existence ou non d’une décision automatisée, origine des données, etc.) vous pourrez vous appuyer sur votre registre RGPD pour rédiger vos mentions d’information.
- Vous pouvez également consigner dans le registre de traitement un historique des violations de données et recenser tous les documents liés aux transferts de données hors de l’Union européenne (clauses contractuelles, BCR, etc.) et aux sous-traitants auxquels vous recourez (contrats de sous-traitance)
4. Qui est en charge de créer et de tenir à jour votre registre de traitement ?
Le registre des activités de traitement doit être tenu par les responsables de traitement ou les sous-traitants eux-mêmes. Ainsi la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement sont responsable de la création et de la tenue de leur registre de traitement .
En pratique, dans un souci de bonne gouvernance, une personne au sein de l’organisme devrait être spécifiquement chargée de la tenue du registre de traitement . Dans le cas où l’organisme a désigné un DPO, interne ou externe, celui-ci semble être le mieux placé pour superviser la tenue du registre de traitement et par la suite utilisera le registre comme principale outil de pilotage lui permettant d’exercer ses missions de contrôle du respect du RGPD, ainsi que d’information et de conseil du responsable du traitement ou du sous-traitant. Ce registre des activités de traitement pourrait également être consulté par tout collaborateur de l’organisme ayant vocation à mettre en œuvre des traitements de données, l’aidant ainsi à mieux comprendre les obligations et limites qui cadrent ce traitement. Les collaborateurs pourront dans ce cas de figure faire remonter au DPO d’éventuelles évolutions pratiques dans la mise en œuvre du traitement.
5. Par où commencer ?
Nous l’avons vu dans l’article « comment faire la cartographie des traitements de données de mon entreprise ? », la mise en conformité RGPD de votre entreprise commence par un audit au cours duquel vous réaliserez une cartographie de vos traitements. Cette cartographie constituera la base de votre documentation utile à la réalisation de votre registre des activités de traitement.
Ainsi les étapes de création de votre cartographie et par conséquent de l’élaboration de votre registre de traitement restent les mêmes :
- Rassembler les informations disponibles
- Elaborer la liste des traitements
- Affiner et préciser l’étude des traitements mis en lumière
- Identifier et analyser les risques qui peuvent peser sur les traitements de données mis en œuvre
- Et enfin, élaborer un plan d’action de mise en conformité au RGPD.
6. Et après ?
Par nature, le registre de traitement est un document interne et évolutif, qui doit avant tout aider l’organisme à piloter sa conformité.
Néanmoins, votre registre des activités de traitement devra être communiqué à la CNIL si elle en fait la demande notamment lors d’une mission de contrôle. Ce document sera un outil clé du contrôle et doit être à cet égard irréprochable.
Quelques précisions :
- Les organismes du secteur public (chargés d’une mission de service public) sont tenus de communiquer le registre des activités de traitement à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration. Toutefois, le registre de traitement communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information[8].
- Les organismes privés (non chargés d’une mission de service public) ne sont pas tenus de communiquer le registre de traitement au public. Néanmoins, ils peuvent, dans un souci de transparence et ponctuellement s’il le pense opportun, le communiquer aux personnes ou organismes qui en font la demande.
Le registre des activités de traitement doit être mis à jour régulièrement, de manière incrémentale (enrichissement de potentiels nouveaux traitements) et itérative (affinement des informations sur les traitements déjà existants). Tous changements et évolutions organisationnelles, techniques ou fonctionnelles des traitements de données (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.) devront être porté au registre de traitement .
[1] Principe d’accountability
[2] Principe de licéité, loyauté, transparence
[3] Principe de limitation des finalités
[4] Principe de minimisation des données
[5] Principe d’exactitude
[6] A noter que les entreprises de moins de 250 salariés bénéficient tout de même d’une dérogation en ce qui concerne la tenue de ce registre. Néanmoins, en pratique, cette dérogation est limitée à des cas très particuliers de traitements, mis en œuvre de manière occasionnelle et non routinière, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées.
[7] 2ème alinéa de l’article 49.1 (absence de décision d’adéquation en vertu de l’article 45 du RGPD, absence des garanties appropriées prévues à l’article 46 du RGPD et inapplicabilité des exceptions prévues au 1er alinéa de l’article 49.1
[8] Articles L311-1 à R311-8-2 du Code des relations entre le public et l’administration
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
