Pourquoi et comment faire le registre des activités de traitements de mon entreprise ?
|

Pourquoi et comment faire le registre des activités de traitement de mon entreprise ?

1. Définition

Le registre des activités de traitement est un outil de pilotage et de démonstration de votre conformité au RGPD[1] : Il vous permet de documenter la réalité de vos traitements de données. Sa création et sa mise à jour sont l’occasion d’identifier et de hiérarchiser les risques liés à la protection des données et de vous poser les bonnes questions :

  • Les données à caractère personnel que je traite sont-elles traitées de manière licite, loyale et transparente au regard de la personne concernée[2] ?
  • Les données sont-elles collectées pour des finalités déterminées, explicites et légitimes[3] ?
  • Toutes les données à caractère personnel utilisées dans le cadre de mon traitement sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées[4] ?
  • Les données sont exactes et, si nécessaire, tenues à jour[5] ?
  • Quelles raisons ou quelle obligation légale justifient la durée de conservation des données liées à mes traitements ?
  • Les données sont-elles suffisamment protégées ?
  • Etc.

L’élaboration de ce registre est une étape essentielle qui vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements et de votre organisation !

2. Pourquoi faire le registre des traitements de données de mon entreprise ?

Le registre est prévu par l’article 30 du RGPD, c’est donc une obligation légale prévu par le RGPD, elle concerne tous les organismes, publics comme privés quelle que soit leur taille[6], dès lors qu’ils traitent des données personnelles. Chaque responsable du traitement tient un registre des activités de traitement effectuées sous leur responsabilité. Chaque sous-traitant tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

En résumé, que vous soyez à l’origine d’un traitement que vous mettez en œuvre directement ou que soyez un sous-traitant chargé de son exécution, vous êtes dans l’obligation légale de tenir un registre de ces activités.

Le contrôleur (la Commission national sur l’informatique et les libertés, la CNIL), lors d’un éventuel contrôle vous demandera de présenter ce registre, si vous n’êtes pas en mesure de lui présenter un document complet et à jour reflétant la réalité des traitements de données mis en œuvre par votre organisme, vous vous exposez à des sanctions.

3. Comment faire le registre des activités de traitement de mon entreprise ?

L’article 30 du RGPD prévoit des obligations spécifiques pour la tenue du registre en fonction de votre rôle vis-à-vis du traitement. Il faut donc faire la distinction entre :

  • Votre registre tenu en tant que responsable de traitement.
  • Et votre registre lié à vos activités de sous-traitant.

Pourquoi deux registres ? Car, en pratique, les informations légales minimales obligatoirement contenues dans le registre ne sont pas les mêmes, il est donc recommandé dans un souci de clarté de tenir deux registres distincts. Le premier qui documente vos activités de traitement pour lesquels vous déterminez les finalités et les moyens du traitement, lorsque vous êtes responsable de traitement. Et un second qui documentera vos activités de traitement que vous réalisez pour le compte du responsable du traitement, lorsque vous êtes sous-traitant.

A noter que nombre d’organisations peuvent ne réaliser aucune opération de traitement en tant que sous-traitant, elles n’auront donc à tenir que leur registre des traitements pour lesquelles elles sont responsables de traitement. Il est beaucoup plus rare que des organisations sous-traitantes n’aient aucune opération de traitement propre à leur organisation ou leur fonctionnement (suivi client, gestion RH…).

Votre registre doit comporter en introduction :

  • le nom et les coordonnées de votre organisme
  • le nom et les coordonnées de votre représentant (cas des entreprises hors UE) ou de votre délégué à la protection des données (DPO) si vous en avez nommé un (par obligation légale ou par bonne pratique).

Le registre sera composé d’une fiche établie pour chacune des activités de traitement. Cette fiche de registre doit comporter à minima les éléments suivants :

  • le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre
  • les finalités du traitement
  • les catégories de personnes concernées (client, prospect, employé, etc.)
  • les catégories de données personnelles (identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez
  • les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
  • les délais prévus pour l’effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre

Le registre du sous-traitant doit également recenser toutes les catégories d’activités de traitement effectuées mais cette fois-ci pour le compte de vos clients. Ce registre doit aussi comporter le nom et les coordonnées de votre organisme, celui de votre représentant ou de votre DPO.

Pour chaque catégorie d’activité effectuée pour le compte de clients, il doit contenir les éléments minimaux suivants :

  • le nom et les coordonnées de chaque client, responsable de traitement, pour le compte duquel vous traitez les données et, le cas échéant, le nom et les coordonnées de leur représentant
  • le nom et les coordonnées des sous-traitants auxquels vous-même faites appel dans le cadre de cette activité
  • les catégories de traitements effectués pour le compte de chacun de vos clients, c’est-à-dire les opérations effectivement réalisées pour leur compte (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.) 
  • les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale. Dans les cas très particuliers[7], les garanties prévues pour encadrer les transferts doivent être mentionnées.
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.

Pour faciliter la tenue de ce registre, la CNIL propose un modèle de registre de base (format ODS), destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE-PME, associations, petites collectivités, etc.).

Ils permettent de satisfaire au socle d’exigences posées par l’article 30 du RGPD.

La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité. En effet, les obligations de documentation prévues par le RGPD ne se limitent pas à l’obligation de tenir un registre, prévue à l’article 30 du RGPD. Disposer, dans un même document, de toutes les informations relatives aux traitements que vous mettez en œuvre et exigées par le RGPD vous permettra de vous assurer, à chaque instant, de votre conformité aux règles de protection des données ou d’identifier les actions que vous devez mener pour atteindre cet objectif.

  • Par exemple, en ajoutant à votre registre les informations nécessaires pour informer les personnes (base légale du traitement, et selon le cas, fondement juridique du transfert de données vers des pays tiers, droits qui s’appliquent au traitement, existence ou non d’une décision automatisée, origine des données, etc.) vous pourrez vous appuyer sur votre registre pour rédiger vos mentions d’information.
  • Vous pouvez également consigner dans le registre un historique des violations de données et recenser tous les documents liés aux transferts de données hors de l’Union européenne (clauses contractuelles, BCR, etc.) et aux sous-traitants auxquels vous recourez (contrats de sous-traitance)

4. Qui est en charge de constituer et de tenir à jour votre registre ?

Le registre doit être tenu par les responsables de traitement ou les sous-traitants eux-mêmes. Ainsi la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement sont responsable de la création et de la tenue de leur registre.

En pratique, dans un souci de bonne gouvernance, une personne au sein de l’organisme devrait être spécifiquement chargée de la tenue du registre. Dans le cas où l’organisme a désigné un DPO, interne ou externe, celui-ci semble être le mieux placé pour superviser la tenue du registre et par la suite utilisera le registre comme principale outil de pilotage lui permettant d’exercer ses missions de contrôle du respect du RGPD, ainsi que d’information et de conseil du responsable du traitement ou du sous-traitant. Ce registre pourrait également être consulté par tout collaborateur de l’organisme ayant vocation à mettre en œuvre des traitements de données, l’aidant ainsi à mieux comprendre les obligations et limites qui cadrent ce traitement. Les collaborateurs pourront dans ce cas de figure faire remonter au DPO d’éventuelles évolutions pratiques dans la mise en œuvre du traitement.

5. Par où commencer ?

Nous l’avons vu dans l’article « comment faire la cartographie des traitements de données de mon entreprise ? », la mise en conformité RGPD de votre entreprise commence par un audit au cours duquel vous réaliserez une cartographie de vos traitements. Cette cartographie constituera la base de votre documentation utile à la réalisation de votre registre.

Ainsi les étapes de création de votre cartographie et par conséquent de l’élaboration de votre registre des activités de traitement restent les mêmes :

  • Rassembler les informations disponibles
  • Elaborer la liste des traitements
  • Affiner et préciser l’étude des traitements mis en lumière
  • Identifier et analyser les risques qui peuvent peser sur les traitements de données mis en œuvre
  • Et enfin, élaborer un plan d’action de mise en conformité au RGPD.

6. Et après ?

Par nature, le registre est un document interne et évolutif, qui doit avant tout aider l’organisme à piloter sa conformité. 

Néanmoins, votre registre devra être communiqué à la CNIL si elle en fait la demande notamment lors d’une mission de contrôle. Ce document sera un outil clé du contrôle et doit être à cet égard irréprochable. 

Quelles précisions :

  • Les organismes du secteur public (chargés d’une mission de service public) sont tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration. Toutefois, le registre communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information[8].
  • Les organismes privés (non chargés d’une mission de service public) ne sont pas tenus de communiquer le registre au public. Néanmoins, ils peuvent, dans un souci de transparence et ponctuellement s’il le pense opportun, le communiquer aux personnes ou organismes qui en font la demande.

Le registre doit être mise à jour régulièrement, de manière incrémentale (enrichissement de potentiels nouveaux traitements) et itérative (affinement des informations sur les traitements déjà existants). Tous changements et évolutions organisationnelles, techniques ou fonctionnelles des traitements de données (nouvelle donnée collectée, allongement de la durée de conservation, nouveau destinataire du traitement, etc.)  devront être porté au registre.


[1] Principe d’accountability

[2] Principe de licéité, loyauté, transparence

[3] Principe de limitation des finalités

[4] Principe de minimisation des données

[5] Principe d’exactitude

[6] A noter que les entreprises de moins de 250 salariés bénéficient tout de même d’une dérogation en ce qui concerne la tenue de ce registre. Néanmoins, en pratique, cette dérogation est limitée à des cas très particuliers de traitements, mis en œuvre de manière occasionnelle et non routinière, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées.

[7] 2ème alinéa de l’article 49.1 (absence de décision d’adéquation en vertu de l’article 45 du RGPD, absence des garanties appropriées prévues à l’article 46 du RGPD et inapplicabilité des exceptions prévues au 1er alinéa de l’article 49.1

[8] Articles L311-1 à R311-8-2 du Code des relations entre le public et l’administration

A lire également