Votre Registre des Activités de Traitement est-il à jour ?

Le registre des activités de traitement des données personnelles joue un rôle déterminant dans le recensement des traitements de données personnelles effectués par une organisation, offrant une vision complète de l’utilisation de ces données.

Sommaire

Qui doit disposer d’un Registre ?

Tous les organismes, qu’ils soient publics ou privés, de toute taille, sont tenus de tenir un registre des activités de traitement dès lors qu’ils traitent des données personnelles.

Dispositions Spécifiques pour les Petites Entreprises

Les entreprises de moins de 250 salariés bénéficient d’une dérogation spécifique. Elles sont tenues de consigner uniquement :

Les traitements non occasionnels (ex. : gestion de la paie).
Les traitements présentant un risque pour les droits et libertés des personnes (ex. : géolocalisation).
Les traitements portant sur des données sensibles (ex. : données de santé).

Cette dérogation s’applique principalement à des traitements spécifiques, réalisés de façon occasionnelle et qui ne présentent pas de risque pour les individus concernés.

Registre pour les Activités de Sous-traitance

Les organismes agissant en tant que sous-traitants, tels que les prestataires de services informatiques ou les agences de marketing, doivent également tenir un registre dédié à leurs activités de traitement pour le compte d’autres organisations.

Conformité au RGPD

Conformément à l’article 30 du RGPD, le registre contribue à la documentation de votre conformité.

En tant que document de recensement et d’analyse, il doit fidèlement représenter vos activités de traitement de données personnelles, permettant d’identifier clairement :

Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) impliquées dans le traitement des données.
Les types de données traitées.
Les finalités du traitement des données, les destinataires des données, et la durée de conservation.
Les mesures de sécurité mises en place pour protéger les données.

Le registre ne se limite pas à répondre à une obligation légale; il est également un outil stratégique pour démontrer votre conformité au RGPD et pour mener une réflexion critique sur la nécessité, la pertinence, et la sécurité de vos traitements de données.

Qui doit tenir le registre ?

Le registre doit être tenu par les responsables de traitement ou les sous-traitants eux-mêmes. Ils peuvent ainsi disposer d’une vue d’ensemble de toutes les activités de traitement de données à caractère personnel qu’ils effectuent.

Une personne au sein de l’organisme peut être spécifiquement chargée de la tenue du registre.

Dans le cas où l’organisme a désigné un délégué à la protection des données (DPD), interne ou externe, celui-ci peut être chargé de la tenue du registre.

Le registre pourra ainsi constituer l’un des outils permettant au délégué à la protection des données (DPO) d’exercer ses missions de contrôle du respect du RGPD ainsi que d’information et de conseil du responsable du traitement ou du sous-traitant.

Processus de Création et de Mise à Jour du Registre

L’établissement et la mise à jour du registre offrent l’opportunité d’identifier et de prioriser les risques relatifs au RGPD, et de définir un plan d’action pour assurer la conformité de vos activités de traitement des données aux normes de protection des données.

Voici un guide étape par étape pour constituer un tel registre, reprenant et détaillant vos points :

1. Rassembler les Informations Disponibles

Recenser

Identifier et rencontrer les responsables opérationnels de chaque service traitant des données personnelles pour comprendre leurs activités et les types de données traitées.
Analyser le site web pour identifier les données collectées via les formulaires en ligne. Cela inclut les informations entrées manuellement par les utilisateurs et les données collectées automatiquement (par exemple, via des cookies).

Lister

Utiliser la liste des traitements déjà déclarés à la CNIL (Commission Nationale de l’Informatique et des Libertés) si applicable. Cela donne une base sur laquelle s’appuyer pour les traitements déjà en place.
Lister les différentes activités nécessitant le traitement de données personnelles. Cela peut inclure la gestion des ressources humaines, le marketing, les ventes, etc.

2. Élaborer la Liste des Traitements

Exploiter les informations collectées lors des entretiens avec les responsables opérationnels pour créer une ébauche de registre.
Remplir une fiche de registre par activité de traitement. Chaque fiche doit détailler le but du traitement, les catégories de données traitées, les destinataires des données, les délais de conservation, et si les données sont transférées hors de l’UE.

3. Affiner / Préciser

Analyser

Sur la base du registre, identifier et analyser les risques qui peuvent peser sur les traitements de données. Cela implique d’évaluer la sensibilité des données, les risques de fuites, les conséquences potentielles pour les personnes concernées, etc.
Évaluer la nécessité de réaliser une Analyse d’Impact sur la Protection des Données (AIPD) pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes physiques.

Élaborer un Plan d’Action de Mise en Conformité RGPD

Prioriser les actions à entreprendre pour minimiser les risques identifiés, en tenant compte de l’urgence et de l’importance de ces risques.
Définir des mesures techniques et organisationnelles pour assurer la protection des données personnelles (par exemple, chiffrement, pseudonymisation, accès sécurisé).
Planifier des formations RGPD pour les employés impliqués dans le traitement des données personnelles.
Établir un calendrier pour la mise en œuvre des mesures de conformité et assigner des responsabilités claires au sein de l’organisation.

Pour structurer les étapes de constitution d’un registre de tenue des données personnelles de manière organisée et conforme au RGPD, voici un tableau détaillant chaque phase et ses actions spécifiques :

Étape	Actions	Description
1. Rassembler les informations disponibles	Identifier et rencontrer les responsables opérationnels	Rencontrer les responsables des différents services pour comprendre comment et quelles données personnelles sont traitées.
	Analyser le site internet	Examiner le site web pour identifier les données collectées via les formulaires en ligne, les mentions d’information sur la protection des données, et l’utilisation de cookies.
	S’appuyer sur la liste des traitements déclarés à la CNIL	Utiliser les déclarations précédentes comme base pour comprendre les traitements de données déjà identifiés.
2. Élaborer la liste des traitements	Lister les activités nécessitant le traitement de données personnelles	Créer un tableau de suivi qui répertorie toutes les activités de traitement des données par finalité. Ceci aide à comprendre pourquoi et comment les données sont utilisées, indépendamment des logiciels.
	Remplir une fiche de registre par activité	Pour chaque activité identifiée, documenter dans une fiche dédiée les détails tels que la finalité du traitement, les catégories de données, les destinataires, les durées de conservation, et les transferts de données hors UE.
3. Affiner et préciser	Identifier et analyser les risques	À partir du registre établi, évaluer les risques pour la sécurité des données et la vie privée. Cela inclut l’identification des données sensibles, l’évaluation de la probabilité et de l’impact des risques, et la détermination des mesures nécessaires pour les atténuer.

Ce processus doit être itératif et le registre doit être régulièrement mis à jour pour refléter tout nouveau traitement de données ou modification des traitements existants. Il est également important de documenter toutes les étapes du processus pour démontrer la conformité avec le RGPD en cas de contrôle par les autorités compétentes.

Conseil de la CNIL : ce registre pourra également être utilisé par votre délégué à la protection des données pour accomplir l’ensemble de ses missions, voire être consulté par tout collaborateur de l’organisme ayant vocation à mettre en œuvre des traitements de données.

Par exemple, en ajoutant à votre registre les informations nécessaires pour informer les personnes (base légale du traitement, et selon le cas, fondement juridique du transfert de données vers des pays tiers, droits qui s’appliquent au traitement, existence ou non d’une décision automatisée, origine des données, etc.) vous pourrez vous appuyer sur votre registre pour rédiger vos mentions d’information.

Vous pouvez également consigner dans le registre un historique des violations de données et recenser tous les documents liés aux transferts de données hors de l’Union européenne (clauses contractuelles, BCR, etc.) et aux sous-traitants auxquels vous recourez (contrats de sous-traitance)

Contenu du Registre

L’article 30 du RGPD détaille les informations que doivent contenir les registres tant pour le responsable du traitement que pour le sous-traitant.

Si votre organisme exerce à la fois en tant que responsable et sous-traitant, il est conseillé de tenir deux registres distincts pour clarifier ces rôles.

Le registre du responsable de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme.

En pratique, une fiche de registre doit donc être établie pour chacune de ces activités.

Le registre du responsable de traitement

Ce registre doit comporter le nom et les coordonnées de votre organisme ainsi que, le cas échéant, de votre représentant, si votre organisme n’est pas établi dans l’Union européenne, et de votre délégué à la protection des données si vous en disposez.

En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre
les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données
les catégories de personnes concernées (client, prospect, employé, etc.)
les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez
les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
les délais prévus pour l’effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre

2. Le Registre du sous-traitant

Le registre du sous-traitant doit recenser toutes les catégories d’activités de traitement effectuées pour le compte de vos clients.

En pratique, une fiche de registre doit donc être établie pour chacune de ces catégories d’activités (hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale, etc.).

Pour chaque catégorie d’activité effectuée pour le compte de clients, il doit contenir les éléments minimaux suivants :

le nom et les coordonnées de chaque client, responsable de traitement, pour le compte duquel vous traitez les données et, le cas échéant, le nom et les coordonnées de leur représentant
le nom et les coordonnées des sous-traitants auxquels vous-même faites appel dans le cadre de cette activité
les catégories de traitements effectués pour le compte de chacun de vos clients, c’est-à-dire les opérations effectivement réalisées pour leur compte (par exemple : pour la catégorie « service d’envoi de messages de prospection », il peut s’agir de la collecte des adresses mails, de l’envoi sécurisé des messages, de la gestion des désabonnements, etc.)
les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale. Dans les cas très particuliers mentionnés au 2^ème alinéa de l’article 49.1 (absence de décision d’adéquation en vertu de l’article 45 du RGPD, absence des garanties appropriées prévues à l’article 46 du RGPD et inapplicabilité des exceptions prévues au 1^er alinéa de l’article 49.1), les garanties prévues pour encadrer les transferts doivent être mentionnées.
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre.

La CNIL recommande de maintenir un registre pour les traitements dont vous êtes responsable et un autre pour ceux réalisés en tant que sous-traitant, afin de garantir une distinction claire entre ces deux types d’activités.

Exemple de Registre

Le RGPD impose uniquement que le registre se présente sous une forme écrite. Le format du registre est libre et peut être constitué au format papier ou électronique.

Voici le modèle de registre proposé par la CNIL. Ce dernier permet de satisfaire au socle d’exigences posées par l’article 30 du RGPD.

Faut-il communiquer le Registre ?

Le registre est un document interne et évolutif, qui doit avant tout aider l’organisme à piloter sa conformité.

Le registre doit toutefois pouvoir être communiqué à la CNIL lorsqu’elle le demande.

Elle pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

Les organismes du secteur public sont tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration. Toutefois, le registre communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information.
Les organismes privés (non chargés d’une mission de service public) ne sont pas tenus de communiquer le registre au public. Néanmoins, ils peuvent, s’ils l’estiment opportun, le communiquer aux personnes qui en font la demande.