Le registre des activités de traitement, prévu par l’article 30 du RGPD, permet à une entreprise de recenser de manière claire l’ensemble des traitements appliqués aux données. De ce fait, chaque organisme doit être en mesure de disposer d’une vue d’ensemble de ce qu’il fait avec les données personnelles qui lui sont confiées.
Le registre de traitement des données : un outil de pilotage indispensable
Le registre de traitement des données est donc un document permettant le recensement et l’analyse de l’ensemble des données personnelles traitées par une entreprise. Ce document doit refléter la réalité des traitements appliqués. Il doit permettre d’identifier de manière précise :
- Les différents acteurs intervenant dans le traitement des données : représentant, sous-traitants, co-responsables, etc ;
- Les différentes catégories de données traitées ;
- A quoi servent les données collectées, qui peut y accéder et à qui sont-elles communiquées ;
- Combien de temps ces données sont-elles conservées ;
- Comment ces données sont-elles sécurisées.
Outre sa fonction de réponse à l’obligation d’en tenir un, prévue par l’article 30 du RGPD, le registre de traitement des données constitue un outil de pilotage, mais également de démonstration de conformité à la Réglementation Générale pour la Protection des Données. Ce registre permet ainsi à une société de documenter les traitements des données, tout en se posant les questions essentielles, à savoir :
- Les données sont-elles suffisamment protégées ?
- Ai-je réellement besoin de ces données dans le cadre de mes activités ?
- Est-il pertinent de conserver aussi longtemps ces données ?
- Etc.
Créer un registre de traitement de données, régulièrement mis à jour, permet ainsi à tout organisme concerné par le RGPD d’identifier, mais également de hiérarchiser, les risques encourus au regard de cette législation. Établir un tel registre est donc essentiel pour en déduire un plan d’action de mise en conformité des traitements de données aux règles de sécurité du RGPD.
Qui est concerné par le registre de traitement des données ?
Tenir un traitement des données est obligatoire pour l’ensemble des organismes traitant les données personnelles de citoyens européens, publics comme privés et quelle que soit leur taille.
Les organismes chargés de traiter des données personnelles pour le compte d’un autre organisme (par exemple, les sous-traitants tels que les prestataires de services informatiques, agences de communication, agences marketing, etc), doivent également tenir un registre de leurs activités impliquant le traitement de données.
Que contient le registre de traitement des données ?
Concrètement, la CNIL recommande de tenir deux registres, un premier destiné aux traitements de données personnelles dont l’entreprise est elle-même responsable, un second pour consigner les traitements opérés en tant que sous-traitant (pour le compte d’un client, par exemple).
Le registre du responsable de traitement
Le registre du responsable de traitement doit contenir l’ensemble des traitements appliqués aux données personnelles, uniquement mis en œuvre par l’organisme concerné. Idéalement, une fiche de registre doit être établie pour chaque activité. Ce registre doit comprendre le nom, les coordonnées de l’organisme en question, mais également ceux de son représentant si l’organisme n’est pas établi dans l’Union européenne. L’identité du délégué à la protection des données doit aussi figurer dans ce registre.
Par ailleurs, pour chaque activité de traitement, la fiche de registre doit à minima comporter les éléments suivants :
- Si tel est le cas, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre ;
- Le ou les objectifs en fonction desquels les données ont été collectées ;
- Quelles sont les catégories de personnes concernées par le traitement des données (client, prospect, employé, etc) ;
- La liste des différentes catégories de données personnelles : identité, données bancaires, données de localisation, de connexion, situation familiale ou économique, etc) ;
- Les catégories de destinataires auxquels ont été, ou vont être communiquées les données à caractère personnel, y compris les sous-traitants auxquels vous faites appel ;
- L’ensemble des transferts de données à caractère personnel vers un autre pays ou une organisation internationale. Vous devez également consigner, dans certains cas particuliers, les garanties prévues lors de ces transferts ;
- Noter les délais prévus en ce qui concerne l’effacement de chaque catégorie de données personnelles : leur durée de conservation, ou à défaut les critères pris en compte pour déterminer ces dernières.
Le registre du sous-traitant
Le registre de traitement du sous-traitant doit contenir toutes les catégories d’activités de traitement de données effectuées pour le compte de clients.
Pour chaque catégorie d’activité effectuée pour un client, il doit contenir à minima les éléments suivants :
- Le nom ainsi que les coordonnées de chaque client et du responsable de traitement pour lequel vous êtes amené à effectuer un traitement de données ;
- Le nom et les coordonnées des éventuels sous-traitants auxquels vous faites appel ;
- Les différentes catégories de traitements de données effectuées pour le compte de vos clients ;
- Les transferts de données à caractère personnel vers un autre pays ou bien une organisation internationale ;
- Si possible, une description générale des mesures de sécurité entreprises pour sécuriser les données (techniques comme organisationnelles).
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!