Registre des traitements
Apprenez ce qu'est un registre de traitement.
Dernière mise à jour
Apprenez ce qu'est un registre de traitement.
Dernière mise à jour
Le registre des activités de traitement des données cartographie de manière claire et structurée toutes les opérations de traitement des données personnelles et sera le point de départ des contrôles de l'Autorité de protection des données.
Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.
Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :
les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
les catégories de données traitées,
à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
combien de temps vous les conservez,
comment elles sont sécurisées.
Le registre est rendu obligatoire par l’article 30 du RGPD. Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD.
Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.
Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Cette étape essentielle vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données.
Toutes les entreprises traitant des données personnelles de citoyens européens sont concernées par l'obligation de remplir un registre.
Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants :
les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
En pratique, cette dérogation est donc limitée à des cas très particuliers de traitements, mis en œuvre de manière occasionnelle et non routinière, comme par exemple une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées. En cas de doute sur l’application de cette dérogation à un traitement, la CNIL vous recommande de l’intégrer dans votre registre
L’article 30 du RGPD prévoit des obligations spécifiques pour le registre du responsable de traitement de données personnelles et pour le registre du sous-traitant. Si votre organisme agit à la fois en tant que sous-traitant et responsable de traitement, votre registre doit donc clairement distinguer les deux catégories d’activités.
En pratique, dans cette hypothèse, la CNIL vous recommande de tenir 2 registres :
un pour les traitements de données personnelles dont vous êtes vous-même responsable,
un autre pour les traitements que vous opérez, en tant que sous-traitant, pour le compte de vos clients.
Pour chaque traitement, le registre d'un responsable de traitement indique au minima :
le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre
les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données
les catégories de personnes concernées (client, prospect, employé, etc.)
les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez
les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre
L'identité et les informations de contacts du responsable du traitement
L'identité et les informations de contacts du DPO le cas échéant
L'identité et les informations de contacts du représentant le cas échéant
Le ou les responsables de traitement conjoints, le cas échéant
Toutes les finalités liées à l'activité impliquant le traitement
Respect d'une obligation légale
Exécution d'un contrat
Intérêt légitime de l'entreprise ou d'un tiers
Intérêt public
Consentement
Sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne
Type de personnes concernées
Catégories de données
Délais de suppression des données ou règle applicable
Identification des destinataires comprenant les destinataires internes (service concerné par le traitement) ; organismes externes (partenaires commerciaux ou institutionnels) ; sous-traitants (hébergeur, fournisseur de solutions) ; personne concernée le cas échéant et responsables conjoints
Pour chaque destinataire, identification des transferts en dehors de l'Espace économique européen (EEE) et les outils juridiques utilisés (Règles d'entreprise contraignantes en cas de transferts hors UE avec les filiales, clauses contractuelles types, pays reconnu adéquat...)
Mesures techniques et organisationnelles mises en place pour sécuriser chaque traitement de données
Par exemple, chiffrement des données, pseudonymisation, limitation des accès
Chaque sous-traitant est tenu de renseigner un registre moins étendu.
Celui-ci contient :
les coordonnées du sous-traitant, de son représentant le cas échéant et de son DPO
les coordonnées de tous les responsables de traitement pour le compte desquels le sous-traitant agit (les clients généralement)
les catégories de données traitées
les destinataires
les transferts hors EEE
les mesures de sécurité
