Que doit contenir un registre des activités de traitement ?

A compter du 25 mai 2018, les entreprises, administrations et autres associations devront pouvoir prouver à tout moment leur conformité en matière de protection des données à caractère personnel. Pour ce faire, elles auront l’obligation de tenir un registre de leurs activités de traitement. Loin d’être anodin, car susceptible d’être contrôlé par la CNIL, ce document devra être renseigné de manière très méthodique, et rigoureuse. Ses rédacteurs auront ainsi pour principal souci de se conformer à l’article 30 du nouveau règlement européen, lequel stipule clairement toutes les informations qui nécessitent d’y être consignées.

Rappel : qu’est-ce qu’un registre des activités de traitement ?

Il s’agit d’un document interne qui recense dans le détail tous les traitements effectués sur les données personnelles collectées. La CNIL évoque une « cartographie » des traitements de données personnelles. Le registre peut être élaboré par différentes personnes selon la situation : par le responsable direct du traitement, le DPO s’il y en a un, ou encore le sous-traitant, voire un représentant désigné, conformément à l’article 27. Il  n’a pas vocation à être rendu public. Par contre, dès l’entrée en vigueur du RGPD en mai 2018, les autorités de contrôle comme la CNIL devront pouvoir le consulter sans aucune difficulté, quand elles le souhaiteront, soit à l’occasion d’une simple vérification de conformité au règlement, soit à la suite d’un litige, notamment consécutif à une fuite de données. La constitution de ce registre répond au nouveau principe d’ « accountability » mis en avant par le RGPD. Il vise à accroître le degré de responsabilisation de tous ceux qui traitent des données à caractère personnel.

Un registre obligatoire pour tous ?

En principe, les PME comptant moins de 250 employés ne seront pas tenues de constituer ce type de registre, sauf dans certains cas :

  • Si les traitements sont habituels (constitution de fichiers clients, de fichiers du personnel, etc.) et non occasionnels.
  • Si les droits et libertés des personnes visées par les traitements sont susceptibles d’être menacés (risque de discrimination, etc.).
  • Si les données collectées sont considérées comme sensibles (informations médicales, raciales, politiques, religieuses, ou encore judiciaires).

Si au moins l’une des conditions décrites ci-dessus est vérifiée, la tenue d’un registre des activités de traitement est rendue obligatoire, même pour les petites structures inférieures à 250 personnes.

Contenu d’un registre des activités de traitement

Un registre des activités de traitement correctement renseigné par ceux qui doivent s’y soumettre constitue un gage de transparence et de sérieux. Encore faut-il que les bonnes informations y soient consignées. Pour guider les responsables dans leur tâche de rédaction, et faire en sorte qu’ils n’omettent rien, le RGPD propose une liste de questions simples servant de fil conducteur…

  • Quelle est la personne responsable des traitements ? Préciser son nom et ses coordonnées, ainsi que celles du représentant, du DPO et des sous-traitants, s’il y en a.
  • Dans quel but les données à caractère personnel sont-elles collectées ? Notifier toutes les finalités de façon très précise (constitution d’un fichier du personnel, d’une liste de fournisseurs, etc.)
  • Quelle sont les catégories de personnes visées par les traitements (employés, clients, adhérents, patients, etc.) ? Et quelles sont les catégories de données récoltées (noms, coordonnées, photos d’identité, numéros de téléphone, CV, bulletins de salaires, plaques d’immatriculation, habitudes de consommation, adresses IP, etc.) ? Ne pas oublier de spécifier les données sensibles.
  • Où seront localisées les données ? Quelle sera leur destination finale et qui va les gérer ? Lister tous les destinataires.
  • Y-a-t-il des transferts hors de l’Union européenne ? Si oui, préciser les noms des destinataires et leur pays d’origine.
  • Quelle sera la durée de conservation des données ? Préciser leur délai d’effacement, lequel peut différer d’une catégorie à l’autre.
  • Quelles mesures de sécurité sont prévues pour protéger les données (empêcher les accès non autorisés, limiter les risques de violation, etc.) ? Détailler les différents dispositifs mis en place, tant techniques qu’organisationnels.

Toutes ces informations constituent un minimum requis. Elles peuvent bien entendu être complétées par d’autres. Par ailleurs, elles devront faire l’objet d’un suivi très strict, et bénéficier d’une mise à jour régulière.

Registre non renseigné : sanction

En cas d’omission pure et simple, la CNIL pourra être amenée à délivrer une amende à l’encontre de l’entreprise ou de l’administration qui n’aura pas respecté cette clause du RGPD. La peine encourue s’élève à 10 millions d’€ ou 2 % du chiffre d’affaires mondial annuel. Sinon, des avertissements pourront aussi être prononcés à l’égard des contrevenants, lesquels ne seront pas non plus à l’abri d’une limitation temporaire ou permanente d’un traitement, voire d’un effacement de certaines données personnelles.

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30

https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

A venir : Manquement au RGPD : que doit-on craindre le plus entre les sanctions et la baisse de notoriété ?

Nathalie Dentico

Rédactrice Web Ylneo

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *