Elément essentiel d’une mise en conformité RGPD, la création et la mise à jour d’un registre de traitement constitue une obligationpour toutes les organisations traitant de données à caractère personnel.
Qu’est-ce qu’un registre de traitement ? Que doit-il contenir ? Comment le constituer ? Toutes les réponses dans cet article !
Registre de traitement : qu’est-ce que c’est ?
Registre de traitement des données : définition
Premier dispositif déployé dans le cadre d’une mise en conformité RGPD, le registre de traitement permet de recenser l’ensemble des traitements de données à caractère personnel réalisé par une organisation et de consigner les processus que ces données subissent.
Plus précisément un registre de traitement permet d’identifier :
- Les acteurs qui interviennent dans le traitement des données ;
- Les catégories de données traitées ;
- L’usage que l’organisation fait des données (à quoi elles servent, qui y a accès et à qui elles sont communiquées) ;
- Le temps de conservation des données ;
- Le niveau de sécurisation des données.
Un registre spécifique pour les activités de sous-traitance des données personnelles
Lorsqu’une organisation traite les données à caractère personnel d’une autre organisation (prestataire de services informatiques, agence de communication, entreprise d’externalisation de process métiers…), elle est contrainte de tenir un registre de traitement spécifique.
Pour plus de précisions : voir le guide RGPD pour les sous-traitants
A quoi sert un registre des activités de traitement ?
Au-delà de répondre à une obligation légale, le registre de traitement constitue un outil de pilotage performant pour l’entreprise. Ainsi, sa mise à jour régulière permet de :
- Documenter le traitement de données : les informations transmises par le registre sont des indicateurs intéressants pour piloter et sécuriser les données de l’organisme.
- Identifier les risques de non-conformité vis-à-vis du RGPD : afin d’organiser un plan d’action pour que l’organisme soit en phase avec les règles de protection des données.
Registre de traitement et RGPD : ce qu’il faut savoir
Registre de traitement : une obligation encadrée par la CNIL
L’article 30 du RGPD dispose de l’obligation de constituer et mettre à jour un registre de traitement. En cas de non-respect, les organisations encourent des sanctions de la CNIL.
Ce registre est sous la responsabilité du Responsable de Traitement même si, dans les faits, il est souvent tenu par le DPO (Data Protection Officer) et constitue à ce titre une mission complémentaire.
Registre de traitement : qui est concerné ?
L’obligation de tenir un registre de traitement des données concerne tous les organismes – publics comme privés – de plus de 250 salariés ou qui traitent de données à caractère personnel.
Pour rappel : Une donnée à caractère personnel s’apparente à une information susceptible de permettre l’identification d’une personne (nom, photo, adresse, numéro de sécurité sociale, adresse IP…).
Que doit contenir un registre de traitement ?
Un registre de traitement doit répertorier l’ensemble des traitements de données mis en œuvre par une organisation. Ce document doit comporter le nom et les coordonnées de l’organisation, ainsi que celles du délégué à la protection des données et celles du représentant de l’organisme s’il n’est pas établi dans l’Union européenne.
De plus, pour chaque activité de traitement, une fiche de registre doit être créée avec les informations suivantes :
- Le nom et les coordonnées du responsable du traitement ;
- L’objectif visé par la collecte des données ;
- Les catégories de personnes concernées (client, prospect, employé…) ;
- Les catégories des données personnelles récoltées (données bancaires, données de localisation, données économiques…) ;
- Les personnes à qui les données à caractère personnel ont été ou seront communiquées ;
- Les transferts effectués (vers un autre pays ou une organisation internationale) pour les données à caractère personnel ;
- La durée de conservation prévue des données ;
- La description des mesures de sécurité techniques et organisationnelles mises en œuvre pour protéger les données.
Un registre de traitement allégé pour les entreprises de moins de 250 salariés
Les entreprises de moins de 250 salariés bénéficient d’un régime particulier pour la tenue de leur registre de traitement. Allégé, celui-ci doit uniquement contenir les traitements de données :
- Non occasionnels : tels que la gestion de la paie ou la gestion des clients et des fournisseurs ;
- Susceptibles d’atteindre aux droits et libertés des personnes : par exemple les données transmises par des systèmes de géolocalisation ou de vidéosurveillance ;
- Portant sur des données sensibles : telles que les données concernant la santé ou des infractions commises.
Un registre de traitement spécifique pour les activités de sous-traitance
Lorsqu’une organisation effectue une activité de sous-traitance de traitement des données, elle a pour obligation de relater et détailler les traitements opérés pour ses clients. Dans ce cas de figure, il est donc recommandé d’avoir deux registres :
- Un pour les données personnelles dont elle est responsable ;
- Un pour les traitements effectués en tant que sous-traitant pour le compte de ses clients.
De la même manière que pour le registre propre à l’organisme, le registre du sous-traitant doit recenser toutes les activités de traitement effectués et établir une fiche descriptive pour chacune de ces activités. Chaque fiche doit contenir :
- Le nom et les coordonnées du client dont l’organisme traite les données et, s’il existe, le nom et les coordonnées de son représentant ;
- Le nom et les coordonnées des sous-traitants auxquels l’organisme fait lui-même éventuellement appel pour cette activité ;
- La catégorie de traitement et les opérations réalisées pour le client ;
- Les transferts de données à caractère personnel effectués vers un pays tiers ou un organisme international ;
- La description des mesures de sécurité techniques et organisationnelles mises en place dans ce cadre.
Registre de traitement : comment faire ?
3 étapes pour constituer et tenir un registre de traitement
Pour constituer et tenir un registre de traitement, la CNIL détaille 3 étapes à respecter :
- Recenser les informations disponibles :
- Auprès des responsable des services susceptibles de traiter des données personnelles ;
- Via le site Internet de l’organisme, notamment les formulaires en ligne ;
- Grâce à la liste de traitements déclarés à la CNIL.
- Elaborer la liste des traitements : il s’agit de répertorier les différentes activités nécessitant le traitement de données personnelles de manière à remplir une fiche de registre par activité.
- Analyser les informations récoltées : l’objectif est d’identifier les risques afin de mettre en place un plan d’action de mise en conformité RGPD efficace.
Registre de traitement : quel outil utiliser ?
Si de nombreuses organisations utilisent encore Excel pour faire leur registre de traitement, cet outil n’est pas optimal car il présente des limites en termes de mise à jour et des risques d’erreurs. Heureusement, il existe des logiciels spécialisés qui permettent de construire et gérer les registres de traitement en alliant ergonomie et sécurité. Dans cette optique, Netsystem commercialise deux outils différents :
- Le logiciel Data Legal Drive, n°1 Français de la conformité RGPD ;
- Le logiciel Adequacy édité par INFHOTEP, dont Netsystem est le distributeur-intégrateur privilégié.
Bien qu’essentiel, le registre de traitement n’est qu’un élément qui s’inscrit dans une démarche globale de mise en conformité au RGPD. Conscient des enjeux relatifs aux traitements des données, Netsystem accompagne les organisations sur tout le spectre de la mise en conformité RGPD : de la mise œuvre au maintien en continu, en passant par l’externalisation du DPO.
Vous avez besoin d’être accompagné dans la mise en place de votre registre de traitement ou, de façon globale, dans votre mise en conformité RGPD ? Contactez-nous !