Le Registre des Traitements de données personnelles : Comment le remplir ?

Le registre de traitement des données personnelles est un outil essentiel pour toute organisation traitant des données personnelles. Il s'agit d'un document centralisant toutes les informations sur les traitements de données effectués par l'organisation.

La tenue d'un tel registre est rendue obligatoire par l'article 30 du Règlement Général sur la Protection des Données (RGPD), en voici les modalités :

 

Qui doit en tenir un ?

→🥇 Les responsables de traitement

Le responsable de traitement est l'entité (ou parfois la personne physique) qui détermine les finalités et les moyens du traitement des données personnelles. Cela inclut :

  • Les entreprises : Toute entreprise, quelle que soit sa taille, qui traite des données personnelles, doit tenir un registre de traitement.
  • Les organismes publics : Les administrations, collectivités locales, et autres organismes publics sont également tenus de tenir un registre.
  • Les associations : Les associations traitant des données personnelles, notamment celles des membres ou des bénévoles, doivent également tenir un registre.

 

→🥈 Les sous-traitants

Le sous-traitant est l'entité qui traite des données personnelles pour le compte du responsable de traitement. Les obligations du registre de traitement s'appliquent également aux sous-traitants, notamment pour documenter les traitements réalisés pour les responsables de traitement.

 

⚠️ Attention :

Il existe une exception pour les entreprises de moins de 250 salariés.

Cette exception ne dispense pas ces entreprises de tenir un registre, mais en simplifie parfois le contenu.

Aussi, pour ces entreprises, seuls devront être intégrés au registre les traitements :

  • Susceptibles de comporter un risque pour les droits et libertés des personnes concernées
  • Qui impliquent la manipulation de données dites sensibles
  • Qui ne sont pas occasionnels, mais habituels (sont exclus, par exemple, les traitements relatifs à un évènement unique, à condition de respecter les autres conditions)

 

Que mettre dedans ?

Les obligations de contenu diffèrent selon que le registre est tenu en tant que responsable de traitement, ou en tant que sous-traitant.

 

→🥇 Pour les responsables de traitement

 

Le registre du responsable de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme. En pratique, une fiche de registre doit donc être établie pour chacune de ces activités. Ce registre doit comporter le nom et les coordonnées de votre organisme ainsi que, le cas échéant, de votre représentant, si votre organisme n’est pas établi dans l’Union européenne, et de votre délégué à la protection des données si vous en disposez. En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants : le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données les catégories de personnes concernées (client, prospect, employé, etc.) les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ; les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre

 

→🥈 Pour les sous-traitants

 

Le registre du sous-traitant doit recenser toutes les catégories d'activités de traitement effectuées pour le compte de vos clients. En pratique, une fiche de registre doit donc être établie pour chacune de ces catégories d’activités (hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale, etc.). Ce registre doit comporter le nom et les coordonnées de votre organisme ainsi que, le cas échéant, de votre représentant, si votre organisme n’est pas établi dans l’Union européenne, et de votre délégué à la protection des données si vous en disposez. Pour chaque catégorie d’activité effectuée pour le compte de clients, il doit contenir les éléments minimaux suivants : le nom et les coordonnées de chaque client, responsable de traitement, pour le compte duquel vous traitez les données et, le cas échéant, le nom et les coordonnées de leur représentant le nom et les coordonnées des sous-traitants auxquels vous-même faites appel dans le cadre de cette activité les catégories de traitements effectués pour le compte de chacun de vos clients, c’est-à-dire les opérations effectivement réalisées pour leur compte (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.) les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale. Dans les cas très particuliers mentionnés au 2ème alinéa de l’article 49.1 (absence de décision d’adéquation en vertu de l’article 45 du RGPD, absence des garanties appropriées prévues à l’article 46 du RGPD et inapplicabilité des exceptions prévues au 1er alinéa de l’article 49.1), les garanties prévues pour encadrer les transferts doivent être mentionnées. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.

 

A quoi sert-il ?

Le registre des traitements des données personnelles a plusieurs fonctions :

 

→ 🕹️ Piloter la conformité

Aider l'organisme à gérer et contrôler la conformité au RGPD.

 

→ 📂 Documenter les traitements

Fournir une vue d'ensemble des activités de traitement des données personnelles effectuées par l'organisme.

 

→ 👁️‍🗨️ Faciliter les contrôles

Permettre aux autorités de protection des données, comme la CNIL, de vérifier la conformité lors des contrôles.

 

→ ✨ Assurer la transparence

Renforcer la transparence des pratiques de traitement des données vis-à-vis des personnes concernées.

 

→ 🚨 Identifier et gérer les risques

Aider à identifier les risques liés aux traitements de données et mettre en place des mesures de sécurité appropriées.

 

Qui peut le consulter ?

Le registre de traitement des données personnelles est par principe un document interne. Toutefois, différentes parties peuvent être amenées à le consulter selon des conditions spécifiques :

 

→ ⚖️ Autorités de protection des données (comme la CNIL) :

Le registre doit pouvoir être communiqué à la CNIL sur demande.

La CNIL peut l'utiliser dans le cadre de sa mission de contrôle des traitements de données pour vérifier la conformité de l'organisme au RGPD.

 

→ 👥 Personnel interne et DPO :

Les responsables de traitement (ou les sous-traitants), le délégué à la protection des données (DPO) et les services de conformité doivent avoir accès au registre pour le mettre à jour et garantir la conformité continue avec le RGPD.

 

→ 🏛️ Pour les organismes du secteur public :

Les organismes du secteur public sont tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif.

Cependant, le registre communiqué doit être occulté de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, notamment à la sécurité des systèmes d’information.

 

→ 🏪 Pour les organismes privés :

Les organismes privés, non chargés d'une mission de service public, ne sont pas tenus de communiquer le registre au public.

Cependant, ils peuvent choisir de le communiquer aux personnes qui en font la demande, s'ils le jugent opportun (dans le cadre d'une démarche de transparence auprès d'un partenaire, par exemple).

 

 

Quel format respecter ?

Pour répondre aux besoins de consultation par ces différentes parties, le registre de traitement doit prendre une forme adaptée :

 

→ 🔎 Accessible et consultable :

Le registre (nécessairement écrit) doit être facilement accessible et consultable par les personnes autorisées.

Une version électronique est recommandée pour faciliter les mises à jour et l’accès rapide aux informations.

 

→ 🗃️ Clair et structuré :

Les informations doivent être présentées de manière claire et structurée.

Chaque traitement doit être décrit avec précision, incluant toutes les informations obligatoire (précédemment listées).

 

→ 🗓️ À jour :

Le registre doit être mis à jour régulièrement pour refléter les changements dans les traitements de données personnelles.

Toute nouvelle activité de traitement ou modification doit être documentée sans délai.

 

Aujourd'hui, de nombreux outils permettent de gérer facilement son registre des traitements. La CNIL en propose même un modèle sous format Excel.

Notre Cabinet utilise l'outil ProDPO pour la tenue des registres de traitements. Ce logiciel permet une centralisation de tous les documents relatifs à la conformité au sein d'un espace collaboratif, et accessible en ligne.

Sa simplicité d'utilisation en fait un outil adapté à tous profils, débutant comme aguerri : n'hésitez pas à l'essayer ⬇️ !

 

__________________________

Article rédigé par Ninon MAIRE, le 28/06/2024

 

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaites réserver un appel !