RGPD : dois-je tenir un registre de traitement ?

 

Avec l’avènement du RGPD obligatoire depuis le 25 mai 2018, , le cadre juridique du règlement abandonne globalement le système dit « déclaratif » (sauf exceptions) au profit d’un système d’autocontrôle, avec l’obligation de tenir un registre des activités de traitement.

La responsabilité des entreprises se matérialisé à travers la notion d’ « accountability » que l’on peut traduire plus exactement en français par celle « redevabilité » dans le sens de « rendre des comptes ».

Selon ce principe, c’est désormais à l’organisation de prouver sa conformité au RGPD, en mettant en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Dans cet esprit, le registre des activités de traitements constitue alors une preuve de votre conformité au RGPD.

L’obligation de tenir un registre de traitement

Le registre des activités de traitement, prévu par l’article 30 du RGPD, permet à une entreprise de recenser de manière claire l’ensemble des traitements appliqués aux données. De ce fait, chaque organisme doit être en mesure de disposer d’une vue d’ensemble de ce qu’il fait avec les données personnelles qui lui sont confiées.

L’article 30 du RGPD énumère les éléments qui doivent être contenus dans le registre :

    • Il doit être tenu sous forme écrite, y compris la forme électronique
    • Il doit être mis à disposition de l’autorité de contrôle, sur demande

Quelles organisations sont concernées par l’obligation de tenir un registre ?

L’obligation de tenir un registre des traitements concerne tous les organismes quelle que soit leur taille, dès lors qu’ils rentrent dans le champ d’application du RGPD (critère géographique ou critère du ciblage) et dès lors qu’ils traitent des données personnelles.

    • Les organismes publics (Services de l’Etat, collectivités)
    • Les organisations privées (micro-entreprise, profession libérale, TPE, PME ou grand groupe)
    • Les associations publiques ou privées

La distinction responsable de traitement et sous-traitant

Le RGPD introduit deux statuts de statuts de responsabilité dans le traitement des données :

Un organisme est responsable de traitement au sens du RGPD pour les données personnelles qu’elle collecte et traite pour son propre compte :

    • Gestion de la paye
    • Gestion des clients
    • Gestion de prospects
    • Gestion du recrutement
    • Gestion des réseaux sociaux
    • Etc.

Un organisme est sous-traitant au sens du RGPD lorsqu’elle traite des données personnelles pour le compte et sur ordre d’un autre organisme :

    • Hébergement de données,
    • Maintenance informatique,
    • Service d’envoi de messages de prospection commerciale, Etc.
    • Fourniture de services internet
    • Création de sites web
    • Prospection commerciale par mail, sur les réseaux sociaux ou sous toute autre forme
    • Edition et/ou intégration de solution logicielles ou web
    • Campagne marketing, communication et publicité (agence marketing par exemple)
    • Etc.

Les deux types de registres d’activités de traitements

La distinction entre ces deux statuts de responsabilité dans le traitement de données personnelles implique donc la tenue de deux registres différenciés comme le recommande la CNIL.

Un registre « Responsable de traitement »

Il concerne les traitements de données personnelles dont vous êtes vous-même responsable, c’est-à-dire ceux que vous traitez pour votre propre compte (gestion des salariés, gestion des clients et prospects, Etc.)  

Un registre « Sous-traitant »

Il concerne les traitements de données que vous opérez pour le compte de vos clients

Le registre du sous-traitant doit recenser toutes les catégories d’activités de traitement effectuées pour le compte de vos clients.  En pratique, une fiche de registre sera donc établie pour chacune de ces catégories d’activités recensées come par exemple (hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale, Etc. (source CNIL)

" Une même organisation peut donc être responsable de traitement et sous-traitant ".

 Exception (théorique) à la tenue d’un registre pour les organismes <250 salariés

Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registre et ne sont donc pas assujetties à l’obligation de tenir un registre sauf lorsque les types de traitements de données suivants sont identifiés :

    • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
    • Les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
    • Mais aussi « Les traitements non occasionnels » comme par exemple, la gestion de la paie, gestion des clients/prospects et des fournisseurs, Etc.

En pratique, cela signifie que l’entreprise ne doit pas posséder de fichier relatif aux données de ses salariés, de ses prospects ou de ses clients (ou tout du moins aucun fichier ne mentionnant de données à caractère personnel de ces personnes) pour déroger à la tenue d’un registre. 

Dans toutes les autres hypothèses, ce qui représente 99% des entreprises, la réalisation d’un registre des traitements est obligatoire.

Le contenu des registres

L’article 40 du RGPD liste de manière non exhaustive les informations à intégrer dans le registre des traitements. Il distingue les deux registres évoqués

En pratique, une fiche de registre doit donc être établie pour chacune de ces activités.

Le registre des activités de traitement, prévu par l’article 30 du RGPD, permet ainsi à une entreprise de recenser de manière claire l’ensemble des traitements appliqués aux données. De ce fait, chaque organisme doit être en mesure de disposer d’une vue d’ensemble de ce qu’il fait avec les données personnelles qui lui sont confiées.

Le contenu du registre de responsable de traitement

Le registre se présente alors comme un document de recensement et d’analyse qui doit refléter la réalité des traitements de données personnelles de l’organisation et qui permet d’identifier précisément pour chaque traitement de données personnelles identifié :

    • Le nom et les coordonnées du responsable et le cas échéant le responsable conjoint du traitement mis en œuvre ;
    • De qui traite-on les données : les catégories de personnes concernées par le traitement des données ? : clients, prospects, employés, fournisseurs, utilisateurs, Etc.)
    • A quoi servent ces données (ce que vous en faites) : le ou les objectifs (on parle de finalités) en fonction desquels les données ont été collectées
    • Les catégories de données qui sont traitées : (données d’identité, données économiques ou familiales, données bancaires, données de localisation, données bancaires, données de connexion, situation familiale ou économique, 
    • Qui accède aux données : qui a le droit d’accéder aux données au sein de l’organisation (et avec quel niveau d’autorisation, la question est bonne à poser et même essentielle)
    • A qui sont-elles communiquées : les catégories de destinataires auxquels ont été, ou vont être communiquées les données à caractère personnel, y compris les sous-traitants auxquels vous faites appel
    • Combien de temps elles sont conservées :  les délais de conservation des données, aussi appelé délai d’effacement c-à-d les délais prévus en ce qui concerne l’effacement de chaque catégorie de données personnelles ou à défaut les critères pris en compte pour déterminer ces dernières.
    • Comment sont-elles sont sécurisées : vous devez effectuer une description des mesures organisationnelles (process) et des solutions techniques mises en place pour sécuriser les données personnelles traitées.
    • Quels transferts de données sont effectués hors UE : les mesures prises en cas de transfert des données vers un autre pays que celui de l’union ou vers une organisation internationale, et dans certains cas particuliers, les garanties prévues lors de ces transferts

Le contenu du Registre sous-traitant :

Le registre du sous-traitant dans cette même edémarche va recenser les catégories d’activités de traitement effectuées pour le compte de vos clients.

En pratique, une fiche de registre sera établie pour chacune de ces catégories d’activités que vous gérer pour le compte de votre client (ou de vos clients si elles sont identiques d’un client à l’autre)

    • Mise à disposition d’un logiciel de gestion
    • Création d’un site, d’une plateforme web, d’une place de marché
    • Hébergement de données,
    • Maintenance informatique,
    • service d’envoi de messages de prospection commerciale,
    • Secrétariat externalisé
    • Etc.

Ce registre doit comporter pour chaque catégorie d’activités effectuée pour le compte de vos clients :

    • le nom et les coordonnées de votre organisme
    • le nom et les coordonnées de votre représentant, le cas échéant, si votre organisme n’est pas établei en unin européenne
    • le nom et les coordonnées de votre délégué à la protection des données si vous en disposez
    • le nom et les coordonnées des sous-traitants auxquels vous-même faites appel dans le cadre de cette activité
    • les catégories de traitements effectués : les opérations effectivement réalisées pour leur compte avec plus de détails. Par exemple pour la prospection par email :
          • collecte des adresses mails,
          • envoi sécurisé des messages,
          • exploitation des réponses et contact
          • Gestion des désabonnements,
          • Etc 
    • les transferts de données à caractère personnel hors UE. Les garanties prévues pour encadrer les transferts devront être mentionnées.
    • Une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre

Lorsque vous êtes responsable de traitement, vous êtes donc aussi « responsable » de vos sous-traitants

Le registre du responsable de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme. Dans cette démarche vous recensez tout un tas d’acteurs sous-traitants auxquels vous recourez de lanière habituelle et pour lesquels vous devez vous assurez qu’ils appliquent eux aussi correctement le RGPD afin d’assurer la protection des données personnelles que vous leur confiez.

En pratique, vous devez donc recenser les sous-traitants qui participent directement ou indirectement à vos traitements de données personnelles et les interroger pour vérifier qu’ils sont conformes au RGPD.

En théorie, s’ils ne vous répondent pas après plusieurs relances, hormis le fait que vous pourriez porter plainte auprès de la CNIL, ou qu’ils ne sont pas conformes, vous êtes censé changer de prestataire… Comme le dit la CNIL vous devez « choisir » vos sous-traitants. Mais là, c’est une autre démarche, une démarche qui n’est pas si simple, reconnaissons-le et qui fait appelle l’aide au choix logiciel, quel produit ou service est le plus adapté à mon activité)  et à la conduite du changement

Le registre de traitement des données : un outil de pilotage indispensable

Le registre est donc un document permettant le recensement et l’analyse de l’ensemble des données personnelles traitées par une entreprise. Ce document doit refléter la réalité des traitements appliqués et permet d’identifier de façon précise la façon dont vous maitriser les flux et process de vos différents traitements de données l’entreprise :

    • Pour pouvoir le prouver à la CNIL lors d’un contrôle
    • Pour pouvoir l’expliquer à une personne concernée qui en ferait la demande

Il constitue donc un outil de pilotage et de démonstration de conformité à la Réglementation Générale pour la Protection des Données.

Le registre de traitements de données : un outil de performance stratégique pour votre développement

Le registre permet ainsi à une organisation de documenter les traitements des données, tout en se posant les questions essentielles, à savoir :

    • Mes données sont-elles suffisamment protégées ?
    • Ai-je réellement besoin de ces données dans le cadre de mes activités pou ratteindre mes objectifs ?
    • Est-il opportun de laisser tant de monde ou avec tant de droits accéder aux données ?
    • Est-il pertinent de conserver aussi longtemps ces données ?

Créer un registre de traitement de données, régulièrement mis à jour, permet ainsi à tout organisme concerné par le RGPD d’identifier, mais également de hiérarchiser, les risques encourus au regard de cette législation. Établir un tel registre est donc essentiel pour en déduire un plan d’action de mise en conformité des traitements de données aux règles de sécurité du RGPD.

Evaluez vos besoins d'accompagnement RGPD
Valeur sélectionnée : 1

Quels sont vos besoins d'accompagnement au RGPD ?

Laissez-vous conseiller

En remplissant ce questionnaire vous nous aider à cerner le périmètre de votre démarche de conformité au RGPD et les services que nous pouvons vous apporter. En fonction de vos réponses nous vous répondrons sur les démarches qui nous semblent les plus appropriées à votre contexte