Avec l’avènement du RGPD obligatoire depuis le 25 mai 2018, , le cadre juridique du règlement abandonne globalement le système dit « déclaratif » (sauf exceptions) au profit d’un système d’autocontrôle, avec l’obligation de tenir un registre des activités de traitement.
La responsabilité des entreprises se matérialisé à travers la notion d’ « accountability » que l’on peut traduire plus exactement en français par celle « redevabilité » dans le sens de « rendre des comptes ».
Selon ce principe, c’est désormais à l’organisation de prouver sa conformité au RGPD, en mettant en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Dans cet esprit, le registre des activités de traitements constitue alors une preuve de votre conformité au RGPD.
Le registre des activités de traitement, prévu par l’article 30 du RGPD, permet à une entreprise de recenser de manière claire l’ensemble des traitements appliqués aux données. De ce fait, chaque organisme doit être en mesure de disposer d’une vue d’ensemble de ce qu’il fait avec les données personnelles qui lui sont confiées.
L’article 30 du RGPD énumère les éléments qui doivent être contenus dans le registre :
Quelles organisations sont concernées par l’obligation de tenir un registre ?
L’obligation de tenir un registre des traitements concerne tous les organismes quelle que soit leur taille, dès lors qu’ils rentrent dans le champ d’application du RGPD (critère géographique ou critère du ciblage) et dès lors qu’ils traitent des données personnelles.
La distinction responsable de traitement et sous-traitant
Le RGPD introduit deux statuts de statuts de responsabilité dans le traitement des données :
Un organisme est responsable de traitement au sens du RGPD pour les données personnelles qu’elle collecte et traite pour son propre compte :
Un organisme est sous-traitant au sens du RGPD lorsqu’elle traite des données personnelles pour le compte et sur ordre d’un autre organisme :
Les deux types de registres d’activités de traitements
La distinction entre ces deux statuts de responsabilité dans le traitement de données personnelles implique donc la tenue de deux registres différenciés comme le recommande la CNIL.
Un registre « Responsable de traitement »
Il concerne les traitements de données personnelles dont vous êtes vous-même responsable, c’est-à-dire ceux que vous traitez pour votre propre compte (gestion des salariés, gestion des clients et prospects, Etc.)
Un registre « Sous-traitant »
Il concerne les traitements de données que vous opérez pour le compte de vos clients
Le registre du sous-traitant doit recenser toutes les catégories d’activités de traitement effectuées pour le compte de vos clients. En pratique, une fiche de registre sera donc établie pour chacune de ces catégories d’activités recensées come par exemple (hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale, Etc. (source CNIL)
" Une même organisation peut donc être responsable de traitement et sous-traitant ".
Exception (théorique) à la tenue d’un registre pour les organismes <250 salariés
Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registre et ne sont donc pas assujetties à l’obligation de tenir un registre sauf lorsque les types de traitements de données suivants sont identifiés :
En pratique, cela signifie que l’entreprise ne doit pas posséder de fichier relatif aux données de ses salariés, de ses prospects ou de ses clients (ou tout du moins aucun fichier ne mentionnant de données à caractère personnel de ces personnes) pour déroger à la tenue d’un registre.
Dans toutes les autres hypothèses, ce qui représente 99% des entreprises, la réalisation d’un registre des traitements est obligatoire.
Le contenu des registres
L’article 40 du RGPD liste de manière non exhaustive les informations à intégrer dans le registre des traitements. Il distingue les deux registres évoqués
En pratique, une fiche de registre doit donc être établie pour chacune de ces activités.
Le registre des activités de traitement, prévu par l’article 30 du RGPD, permet ainsi à une entreprise de recenser de manière claire l’ensemble des traitements appliqués aux données. De ce fait, chaque organisme doit être en mesure de disposer d’une vue d’ensemble de ce qu’il fait avec les données personnelles qui lui sont confiées.
Le contenu du registre de responsable de traitement
Le registre se présente alors comme un document de recensement et d’analyse qui doit refléter la réalité des traitements de données personnelles de l’organisation et qui permet d’identifier précisément pour chaque traitement de données personnelles identifié :
Le contenu du Registre sous-traitant :
Le registre du sous-traitant dans cette même edémarche va recenser les catégories d’activités de traitement effectuées pour le compte de vos clients.
En pratique, une fiche de registre sera établie pour chacune de ces catégories d’activités que vous gérer pour le compte de votre client (ou de vos clients si elles sont identiques d’un client à l’autre)
Ce registre doit comporter pour chaque catégorie d’activités effectuée pour le compte de vos clients :
Lorsque vous êtes responsable de traitement, vous êtes donc aussi « responsable » de vos sous-traitants
Le registre du responsable de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme. Dans cette démarche vous recensez tout un tas d’acteurs sous-traitants auxquels vous recourez de lanière habituelle et pour lesquels vous devez vous assurez qu’ils appliquent eux aussi correctement le RGPD afin d’assurer la protection des données personnelles que vous leur confiez.
En pratique, vous devez donc recenser les sous-traitants qui participent directement ou indirectement à vos traitements de données personnelles et les interroger pour vérifier qu’ils sont conformes au RGPD.
En théorie, s’ils ne vous répondent pas après plusieurs relances, hormis le fait que vous pourriez porter plainte auprès de la CNIL, ou qu’ils ne sont pas conformes, vous êtes censé changer de prestataire… Comme le dit la CNIL vous devez « choisir » vos sous-traitants. Mais là, c’est une autre démarche, une démarche qui n’est pas si simple, reconnaissons-le et qui fait appelle l’aide au choix logiciel, quel produit ou service est le plus adapté à mon activité) et à la conduite du changement
Le registre de traitement des données : un outil de pilotage indispensable
Le registre est donc un document permettant le recensement et l’analyse de l’ensemble des données personnelles traitées par une entreprise. Ce document doit refléter la réalité des traitements appliqués et permet d’identifier de façon précise la façon dont vous maitriser les flux et process de vos différents traitements de données l’entreprise :
Il constitue donc un outil de pilotage et de démonstration de conformité à la Réglementation Générale pour la Protection des Données.
Le registre de traitements de données : un outil de performance stratégique pour votre développement
Le registre permet ainsi à une organisation de documenter les traitements des données, tout en se posant les questions essentielles, à savoir :
Créer un registre de traitement de données, régulièrement mis à jour, permet ainsi à tout organisme concerné par le RGPD d’identifier, mais également de hiérarchiser, les risques encourus au regard de cette législation. Établir un tel registre est donc essentiel pour en déduire un plan d’action de mise en conformité des traitements de données aux règles de sécurité du RGPD.
Donneo © 2021. Tous droits réservés.
Site internet réalisé avec ❤ par l’agence Pr@ti’K