Comment remplir le registre des traitements de la CNIL ?

Comment remplir le registre des activités de traitement de la CNIL ?

Tenir un registre des traitements effectués permet d’assurer et de contrôler la conformité de ses activités au RGPD. La CNIL propose ainsi un modèle de registre sur son site afin de faciliter la démarche.

Qui doit remplir le registre des traitements ?

Selon les dispositions du RGPD, le registre doit être rempli par le responsable de traitement, ou par son représentant. En pratique, lorsque l’organisme désigne un délégué à la protection des données (DPO), interne ou externe, c’est cette personne qui le remplit. Pour le DPO, le registre constitue un outil de contrôle de la conformité de son organisme aux exigences réglementaires en matière de protection des données personnelles.

Le sous-traitant, lorsqu’il traite des données pour le compte d’un responsable de traitement, peut être amené à compléter lui aussi un registre des activités de traitement. Il s’agit du registre qui contient les différentes catégories d’activités de traitement de données effectuées pour le compte de clients.

Comment préparer la rédaction du registre?

La cartographie des traitements RGPD passe par plusieurs étapes.

D’abord, il faut rassembler les informations disponibles. Ce processus suppose d’étudier l’ensemble des activités effectuées au sein de l’entreprise pour en dégager différentes catégories de traitements. Cela permet d’établir un genre d’inventaire en listant ces traitements, pour les hiérarchiser et les ordonner. Ces traitements doivent être documentés : c’est-à-dire qu’il faut récupérer des informations sur chacun des traitements effectués, afin de les rendre compréhensibles et d’être capable de fournir des explications aux autorités de contrôle sur l’élaboration des traitements.

Pour ce faire, on identifie les acteurs des différents services, tels que les responsables opérationnels, qui participent au traitement des données personnelles. Il faut les rencontrer et les interroger en fonction des éléments qui devront figurer sur le registre afin de faciliter son élaboration. Cette étape peut impliquer de mener des entretiens auprès des salariés ou des prestataires tiers.

Quelles informations le responsable du traitement doit-il indiquer ?

Le modèle de format proposé par la CNIL n’est pas obligatoire, il est tout à fait possible de recourir à un autre modèle. De manière libre, il est possible de présenter le registre sur fichier Excel ou fichier Word, par exemple.

Parmi les informations à indiquer, on trouve d’abord le nom et les coordonnées du responsable du traitement, et de son représentant. Le responsable du traitement est la personne qui détermine les finalités et les moyens du traitement pour assurer sa réalisation. Il s’agit la plupart du temps d’une personne morale, comme une collectivité ou une entreprise. Le représentant légal, lui, est simplement celui qui représente cette personne morale.

Il faut également indiquer le nom et les coordonnées du DPO. Il s’agit de la personne chargée de la mise en conformité de l’organisme aux dispositions du RGPD, et qui est désignée par cet organisme. Il est possible de désigner un DPO interne, ou externe à la structure. Un DPO peut aussi être mutualisé, c’est-à-dire qu’il peut travailler pour un groupement de plusieurs entreprises, ou alors pour une même structure qui dispose de plusieurs filiales.

Il est ensuite nécessaire d’indiquer la finalité du traitement. La finalité du traitement désigne un résultat escompté qui est voulu ou qui guide les actions prévues. Il faut se poser les questions « à quelle fin » réalise-t-on ce traitement ; et « pour quoi faire ». La finalité doit être déterminée et légitime. Le traitement des données collectées doit être cohérent avec cette finalité. La décision à prendre concernant la finalité du traitement revient au responsable du traitement.

Par exemple, la finalité du traitement peut correspondre à la gestion des recrutements ou à la gestion des clients.

La finalité du traitement doit fixer la durée de conservation des données collectées. Cette durée peut être fixée par une disposition légale ou règlementaire. Par exemple, selon l’article R5212-37 du Code de la santé publique, la durée de conservation des données relatives à la traçabilité des dispositifs médicaux est fixée à 10 ans. Dans le cas où la durée de conservation n’est pas fixée par une disposition, c’est au responsable du traitement de définir cette donnée. Pour ce faire, il pourra se baser sur les recommandations de la CNIL.

Il est également nécessaire d’indiquer si des données sensibles sont traitées, et le cas échéant lesquelles. Les données sensibles sont par exemple l’origine ethnique, les opinions politiques, la religion, l’appartenance syndicale, les données génétiques ou de santé, ou bien encore relatives à la vie sexuelle. Le traitement de ce type de données est particulièrement encadré, et il faut remplir certaines conditions pour pouvoir les recueillir.

L’existence d’un transfert de ces données en dehors de l’Union européenne doit aussi être indiquée. Il faut dans ce cas que ces données soient suffisamment protégées, c’est-à-dire que des garanties effectives sont mises en place telles que des clauses contractuelles.

Il est enfin nécessaire de mettre à jour régulièrement ces informations.

Le registre doit-il être communiqué ?

Les organismes du secteur public, c’est-à-dire chargés d’une mission de service public, sont tenus de communiquer le registre selon plusieurs modalités. Elles sont présentées sur le site de la CNIL. Il est nécessaire que l’organisme public transmette le registre à toute personne qui le demande. Dans ce cas, il faudra simplement enlever les informations qui ne doivent pas être divulguées, comme des informations sur la sécurité des systèmes d’information.

Concernant les organismes non chargés de mission de service public, dits organismes « privés », le site de la CNIL précise que la communication au public est facultative. Elle est possible lorsque les personnes concernées en font la demande et si l’organisme privé en question l’accepte.

Qui n’est pas concerné par l’obligation de tenir un registre ? Bien que la tenue d’un registre des activités de traitement soit rendue obligatoire par le RGPD, le point 5 de son article 30 prévoit une exception. Les organisations et entreprises de moins de 250 personnes ne sont ainsi pas tenues de remplir ce type de registre.

L’article 30 indique cependant ensuite que cette exception ne s’applique pas dans certains cas.

Il faudra tout d’abord inscrire dans le registre les traitements qui impliquent un risque pour les droits et libertés de la personne concernée. Cette notion de risque est précisée par le RGPD. Un traitement sera considéré comme risqué s’il peut entrainer une discrimination, un vol, une usurpation d’identité, une perte financière, une atteinte à la réputation, ou bien encore une perte de confidentialité. Ce sera aussi le cas lorsque les données récoltées concernent des personnes physiques vulnérables comme des enfants, ou portent sur un grand nombre de personnes.

Le point 5 de l’article 30 du RGPD précise également que les organismes de moins de 250 personnes doivent aussi tenir un registre s’ils opèrent des traitements non occasionnels. Par exemple, les traitements liés à la gestion des clients, à la gestion de la paie et à la gestion des fournisseurs peuvent représenter des traitements non occasionnels.

Les traitements portant sur les données sensibles ne sont pas non plus concernés par cette exception, tout comme ceux sur les données « relatives à des condamnations pénales et à des infractions ».

Ces conditions ne sont pas cumulatives, une seule suffit pour que l’organisme soit obligé de tenir le registre.