Le RGPD (Règlement Général pour la Protection des Données) est en application depuis mai 2018. Parmi les démarches de votre mise en conformité, vous allez rencontrer un document important, le « Registre des activités de traitement ». La tenue de ce registre est prévue par l’article 30 du RGPD.
Ce registre est le successeur de la « Déclaration CNIL » qui était obligatoire avant l’entrée en vigueur du RGPD. On est donc dans le prolongement d’un principe qui existait déjà dans la Loi Française informatique et libertés de 1978.
Il est vrai que l’ancienne réglementation était plus ou moins respectée et que chacun évoquait des exceptions. Quoi qu’il en soit, maintenant la réglementation est européenne et la CNIL veille précisément à son application. Ainsi, en 2019, la CNIL a procédé à 300 contrôles, plus de la moitié de ces contrôles étant réalisés sur place.
Il est donc indispensable d’être dans une démarche de mise en conformité vis-à-vis du RGPD.
Le « Registre des activités de traitement » est un document important de cette conformité. Dans cet article, nous vous proposons de passer un peu de temps sur ce document pour vous aider à comprendre comment le mettre en oeuvre.
Suivez le guide !
1 – Registre des traitements, Quésako ?
Le registre des activités de traitement est un document qui permet de lister les traitements de données personnelles que vous effectuez. Voici deux liens pour avoir des définitions de ces concepts centraux pour le RGPD :
- Une donnée à caractère personnel c’est quoi ? sur le site de la CNIL.
- Un traitement de données à caractère personnel, c’est quoi ? Sur le site de la CNIL.
Objectifs et enjeux
L’objectif du Registre est de fournir une vue d’ensemble de ce que vous faites avec les données personnelles et de réunir toutes les informations associées à ces traitements.
Pour établir ce registre, vous allez devoir vous poser des questions, vous aurez besoin de réunir des informations, de décrire (ou de mettre au point) des procédures …
N’ayez pas peur, c’est aussi une opportunité, surtout si vous n’êtes pas expert du RGPD, car travailler sur votre « Registre des activités de traitement » est une bonne manière d’organiser votre démarche de mise en conformité RGPD. Le Registre va vous obliger à documenter votre démarche et va vous aider à vous poser les bonnes questions.
Pourquoi élaborer ce document ?
D’un point de vue pratique, en cas de fuite ou de perte de données, le registre de traitement permet d’avoir les informations nécessaires pour évaluer la gravité de la situation, mettre en place des parades ou des solutions, informer les personnes concernées et leur donner des conseils pour faire face à la situation.
Le registre participe à la documentation de votre conformité. Pour plus d’informations sur ce document vous pouvez vous rendre directement sur la page officielle de la CNIL :
Enfin, c’est aussi un des document que vous devrez produire en cas de contrôle de l’autorité. Comment se passe un contrôle de la CNIL ?
2. Tenir un registre, mais par où commencer ?
Un registre des activités de traitement, à quoi ca ressemble et où peut-on le trouver ?
Modèle proposés par la CNIL
La CNIL propose un modèle de registre des traitements. Modèle de registre simplifié [ ODS-51.23 Ko]
Les cellules de ce tableau sont commentées afin de vous aider à remplir et compléter des champs qui permettent de décrire votre organisme, d’identifier et lister les traitements que vous effectuez et pour chaque traitement, d’en détailler le contexte de réalisation en précisant :
- Les acteurs, leurs coordonnées (Responsable du traitement / sous-traitant(s) / DPO / etc.)
- Les finalité(s) du traitement effectué
- Les types de données personnelles concernées
- Les catégories de personnes concernées
- Le(s) destinataire(s)
- Les mesures de sécurité mises en oeuvre pour protéger ces données
- Les transferts hors UE de ces données – les destinataires associés.
Autres solutions : exemple d’outils proposés au DPO
Vous retrouvez le même type de document dans les outils proposés sur le marché pour gérer votre conformité RGPD.
Ces outils sont des solutions comme MyDPO, CaptainDPO, DPManager, Smart Global ou DataLegalDrive… La tenue du « Registre des activités de traitement » est souvent au centres des fonctionnalités proposées.
3 – Est-ce que je dois tenir un registre des traitements ?
La réponse de la CNIL est la suivante :
L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.
Site de la CNIL – cnil.fr
Comme ça, le ton est donné ! Nous allons essayer de préciser un peu le propos.
Dérogation pour les entreprises de moins de 250 salariés
Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Mais attention, cette dérogation ne s’applique pas dans un bon nombre de cas :
Une entreprise de moins de 250 salariés DOIT tenir un registre pour :
- les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
- les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
Ainsi, une entreprise de moins de 250 salariés DOIT tenir un registre SAUF pour des traitements occasionnels de données non sensibles et qui présentent peu de risque pour les personnes.
Distinction entre le « Responsable de traitement » et le « Sous-Traitant »
Les exigences quand à la tenue d’un registre des traitements n’est pas la même selon que vous soyez « Responsable de traitement » ou « Sous-Traitant ».
Cette distinction mérite un éclaircissement. Je vais prendre l’exemple d’une entreprise que je connais bien : l’agence web Be API dont la mission est de réaliser des projets web sous WordPress pour ses clients.
En fait, nous avons les deux statuts vis-à-vis du RGPD « Responsable de traitement » ET « Sous-Traitant » :
Be API est « responsable du traitement »
Pour toutes les données personnelles qui sont traitées par Be API SARL pour son fonctionnement. Ce sont les données des collaborateurs de l’agence, le fichier des clients, les fichiers des prospects (direct, par le site, par les RS …), fichier des fournisseurs, etc.
Nous avons aussi un certain nombre de sous-traitants qui nous permettent d’effectuer notre activité et qui hébergent ces données : CRM, outil de compta/gestion, outil de paye etc.
Nous avons donc l’obligation d’établir et de tenir à jour un registre des traitements pour cette activité (ces activités).
Be API est « sous-traitant »
Nous avons le statut de sous-traitant pour les données personnelles qui sont dans les projets web de nos clients.
Pour la création ou la refonte d’un site, le client va nous communiquer par exemple la liste des abonnés à la newsletter ou la liste des « comptes client » qui doivent être importés dans le nouveau site.
Pour un projet web en phase de RUN (maintenance), nous allons faire des copies du site sur nos environnements de travail (environnement de développement ou de test) et donc potentiellement faire des copies des fichiers de données personnelles qui sont dans ces sites.
Nous allons donc traiter des données personnelles « pour le compte de » nos clients. Nous sommes donc « sous-traitant ».
Si vous êtes aussi sous-traitant (ou si vous travaillez avec un sous-traitant) sachez que ce statut entraîne des obligations spécifiques vis-à-vis du RGPD. La responsabilité du sous-traitant est susceptible d’être engagée en cas de manquement. Pour tout savoir sur ce statut, la CNIL a produit un document dédié au statut de sous-traitant.
Dans notre rôle d’agence web, nous avons produit un registre des activités de traitement pour notre activité de sous traitant « en général ». Il décrit les procédures de l’agence pour prendre en charge et gérer les questions des données à caractère personnelles des projets de nos clients.
Nous proposons aussi à certains clients de réaliser un registre des activités de traitement qui est spécifique pour le(s) projet(s) de ce client. Il me semble que cela va au-delà de nos obligations de sous-traitant, mais ça permet d’aider et d’accompagner ce client dans l’établissement de son propre registre des traitements. Le client peut ainsi utiliser le registre des traitements qui est réalisé par Be API (sous-traitant) comme « document de départ » pour réaliser son propre registre des traitements (de responsable du traitement). Gain de temps pour lui.
4 – Et une fois que c’est fait ?
Cent fois sur le métier remettez votre ouvrage !
Gardez en tête que la conformité RGPD est un processus. Elle n’est pas acquise une fois pour toutes. Une fois que vous avez produit un registre des traitements (ou des registres de traitements pour notre cas), vous devez prévoir des procédures de relecture et de mise à jour de ces documents. Vous devez aussi documenter ces procédures.
Sachez enfin qu’en cas de fuite ou de perte de données. C’est le document que vous devrez fournir à l’autorité de contrôle.
Si vous avez besoin d’inspiration
Enfin, si vous voulez voir un registre des activités de traitement complété, voici celui de la CNIL. Évidemment, la CNIL est un organisme soumis à la réglementation … il doit donc produire un registre des activités de traitement pour sa propre activité.
Celui-ci évidemment a valeur d’exemple. Il est accessible ici.
