Registre des traitements

Apprenez ce qu'est un registre de traitement.

Définition du registre de traitement

Le registre des activités de traitement des données cartographie de manière claire et structurée toutes les opérations de traitement des données personnelles et sera le point de départ des contrôles de l'Autorité de protection des données.

Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :

  • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,

  • les catégories de données traitées,

  • à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,

  • combien de temps vous les conservez,

  • comment elles sont sécurisées.

Comment passer en mode run sur la gestion des registres de traitements

Un registre, pourquoi faire ?

Le registre est rendu obligatoire par l’article 30 du RGPD. Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD.

Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.

Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Cette étape essentielle vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données.

Quelles entreprises sont concernées par l'obligation de remplir un registre ?

Toutes les entreprises traitant des données personnelles de citoyens européens sont concernées par l'obligation de remplir un registre.

Les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registres. Ils doivent inscrire au registre les seuls traitements de données suivants :

  • les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;

  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)

  • les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

En pratique, cette dérogation est donc limitée à des cas très particuliers de traitements, mis en œuvre de manière occasionnelle et non routinière, comme par exemple une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées. En cas de doute sur l’application de cette dérogation à un traitement, la CNIL vous recommande de l’intégrer dans votre registre

Contenu du registre de traitement

L’article 30 du RGPD prévoit des obligations spécifiques pour le registre du responsable de traitement de données personnelles et pour le registre du sous-traitant. Si votre organisme agit à la fois en tant que sous-traitant et responsable de traitement, votre registre doit donc clairement distinguer les deux catégories d’activités.

En pratique, dans cette hypothèse, la CNIL vous recommande de tenir 2 registres :

  1. un pour les traitements de données personnelles dont vous êtes vous-même responsable,

  2. un autre pour les traitements que vous opérez, en tant que sous-traitant, pour le compte de vos clients.

Le registre "Responsable de traitement" dans Dastra

Pour chaque traitement, le registre d'un responsable de traitement indique au minima :

  1. le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre

  2. les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données

  3. les catégories de personnes concernées (client, prospect, employé, etc.)

  4. les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)

  5. les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez

  6. les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;

  7. les délais prévus pour l'effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer

  8. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre

Les acteurs

  • L'identité et les informations de contacts du responsable du traitement

  • L'identité et les informations de contacts du DPO le cas échéant

  • L'identité et les informations de contacts du représentant le cas échéant

  • Le ou les responsables de traitement conjoints, le cas échéant

Les finalités

  • Toutes les finalités liées à l'activité impliquant le traitement

La base légale

  • Respect d'une obligation légale

  • Exécution d'un contrat

  • Intérêt légitime de l'entreprise ou d'un tiers

  • Intérêt public

  • Consentement

  • Sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne

L'inventaire des données et des personnes concernées

  • Type de personnes concernées

  • Catégories de données

  • Délais de suppression des données ou règle applicable

Les destinataires et les transferts de données hors EEE

  • Identification des destinataires comprenant les destinataires internes (service concerné par le traitement) ; organismes externes (partenaires commerciaux ou institutionnels) ; sous-traitants (hébergeur, fournisseur de solutions) ; personne concernée le cas échéant et responsables conjoints

  • Pour chaque destinataire, identification des transferts en dehors de l'Espace économique européen (EEE) et les outils juridiques utilisés (Règles d'entreprise contraignantes en cas de transferts hors UE avec les filiales, clauses contractuelles types, pays reconnu adéquat...)

Les mesures de sécurité

  • Mesures techniques et organisationnelles mises en place pour sécuriser chaque traitement de données

  • Par exemple, chiffrement des données, pseudonymisation, limitation des accès

Le registre "sous-traitant" dans Dastra

Chaque sous-traitant est tenu de renseigner un registre moins étendu.

Celui-ci contient :

  • les coordonnées du sous-traitant, de son représentant le cas échéant et de son DPO

  • les coordonnées de tous les responsables de traitement pour le compte desquels le sous-traitant agit (les clients généralement)

  • les catégories de données traitées

  • les destinataires

  • les transferts hors EEE

  • les mesures de sécurité

Pour aller plus loin

Registre des traitementsEtablissez votre registreCompléter un traitement

Dernière mise à jour