Le registre des traitements de données constitue l’un des documents essentiels de la mise en conformité au RGPD. En cas d’enquête, l’Autorité de Protection des Données pourrait vous demander de le présenter. Vous ne l’avez pas encore rédigé ? Pas de panique ! Lexing vous propose une petite séance de rattrapage.
Qui doit tenir un registre de traitements ?
Chaque responsable du traitement et, le cas échéant, son représentant dans l’UE, doit tenir un registre des activités de traitement effectuées sous sa responsabilité.
Par dérogation, les entreprises ou organisations comptant moins de 250 employés ne doivent pas tenir un tel registre. Cependant, elles n’échapperont à cette obligation que si les 3 conditions suivantes sont remplies :
- le traitement effectué ne comporte pas de risque pour les droits et des libertés des personnes concernées,
- il est occasionnel,
- il ne porte pas sur des catégories particulières de données (articles 9 et 10 du RGPD).
Autrement dit, le responsable de traitement n’échappera que très rarement à l’obligation de tenir un registre.
Le sous-traitant (c’est-à-dire tout organisme traitant des données personnelles pour le compte d’un responsable de traitement, par exemple : un prestataire de services informatiques) est également obligé de tenir un registre des activités de traitements de données qu’il opère.
Quelles activités de traitement renseigner dans le registre ?
Tout d’abord, il convient de déterminer les différentes activités de traitement à reprendre dans le registre des traitements de données.
Vous consacrerez ensuite une fiche de votre registre à chaque activité.
Cette première étape se révèle, dans bien des cas, assez fastidieuse. En effet, les activités ne peuvent être définies trop largement, au risque de ne pas présenter un niveau de détail suffisant, ni trop restrictivement, au risque de démultiplier à l’infini les pages du registre !
A titre d’exemple, le registre contient :
- des fiches relatives aux relations de l’entreprise avec les clients (gestion du dossier/de la demande du client, gestion administrative de la relation avec le client, gestion des réclamations/conflits éventuels, etc.),
- des fiches relatives aux ressources humaines (recrutement des personnels, gestion administrative du personnel, etc.)
- ou encore des fiches relatives aux activités promotionnelles de l’entreprise (organisation d’événements, newsletter, …).
Que doit contenir le registre de traitements ?
Pour les responsables du traitement
En pratique, le registre comporte une première page qui reprendra les informations générales suivantes :
- le nom et les coordonnées du responsable du traitement (et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données) ;
- la liste des fiches d’activités de traitement effectuées par le responsable de traitement.
Ensuite, pour chaque activité de traitement, une fiche reprend les informations suivantes :
- les finalités du traitement ;
- une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
- les transferts de données à caractère personnel vers un pays tiers (en identifiant le pays en question et les documents attestant de l’existence de garanties appropriées) ;
- dans la mesure du possible, les délais de conservation des données traitées ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.
Attention, pour les fiches relatives aux caméras de surveillance, certaines mentions supplémentaires doivent apparaître dans le registre.
Pour les sous-traitants
En ce qui concerne les sous-traitants, les informations demandées sont plus limitées. Ne doivent être renseignés dans le registre des activités du sous-traitant que :
- le nom et les coordonnées du sous-traitant (et de l’éventuel représentant dans l’UE et de l’éventuel délégué à la protection des données) ;
- le nom et les coordonnées de chaque responsable du traitement pour le compte duquel le sous-traitant agit (et de leur éventuel représentant dans l’UE et de leur éventuel délégué à la protection des données) ;
- les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
- les transferts de données à caractère personnel vers un pays tiers (en identifiant le pays en question et les documents attestant de l’existence de garanties appropriées) ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.
Si le sous-traitant travaille pour de nombreux clients, il peut être compliqué de tenir cette liste à jour. L’ajout du traitement au registre doit donc être intégré à la méthode de travail, à moins que le sous-traitant ne mette en place une automatisation du processus.
Quelle forme le registre de traitements doit-il prendre ?
Le RGPD ne prescrit pas de forme particulière au registre, la seule condition est que le registre se présente sous une forme écrite. Le format est donc libre (format électronique ou papier).
Afin d’aider les responsables de traitement, les autorités de contrôle française et belge ont toutes deux mis à disposition des modèles de registre de base, sous format Excel ou Word.
La CNIL a également publié son propre registre sur son site internet.
Notre conseil :
Pour ne rien oublier dans votre registre, nous vous conseillons d’organiser plusieurs petites réunions avec les responsables des différents départements de votre entreprise traitant des données (ressources humaines, relations clients, recherche et développement, …) dans le cadre du remplissage des fiches.
L’expérience montre qu’on ne pense pas à tout la première fois !
La partie de la fiche relative aux durées de conservation des données pose généralement problème au rédacteur du registre. Quelle durée inscrire ? Nous vous invitons à visionner la vidéo de notre formation qui abordait ce sujet ici.
Une fois votre registre rédigé, n’oubliez pas de le mettre régulièrement à jour. Chaque nouvelle activité de traitement de données doit faire l’objet d’une nouvelle fiche.
La rédaction d’un registre de traitement constitue une étape importante de votre mise en conformité, tout comme sa mise à jour régulière. Nos spécialistes du département Creactivity se tiennent naturellement à votre disposition pour vous aider dans cette tâche.