Le RGPD et le registre des traitements : pourquoi, qui, quoi, comment ?

Depuis le 25 mai 2018, le RGPD est entré pleinement en vigueur. Il vient imposer de nombreuses nouvelles obligations aux entreprises. Parmi les principales nouveautés de ce nouveau règlement, il y a l’obligation du responsable du traitement de tenir un registre des activités de traitement. Pourquoi cette obligation ? À qui s’adresse-t-elle ? Quelles informations indiquer dans le registre ? Comment le tenir ?

Registre des traitements : pourquoi en tenir un ?

L’obligation de tenir un registre des traitements vient remplacer l’obligation de notification préalable auprès de la CNIL. Cette nouvelle obligation constitue l’une des manifestations d’un des plus grands objectifs du RGPD : responsabiliser les entreprises. Ce registre va prouver que vos activités de traitement sont bien conformes aux nouvelles normes imposées par le RGPD.
De plus, quand il est bien tenu, ce registre vous permet d’avoir une vue d’ensemble des traitements que vous réalisez, vous donnant ainsi l’occasion de faire le point sur l’écart entre vos pratiques en matière de protection des données et les normes du RGPD. On ne saurait donc que trop insister sur l’importance du registre des traitements. Son élaboration peut constituer l’étape initiale à un bon processus de mise en conformité et une preuve de votre responsabilisation (accountability), principe central du RGPD.

Obligation de tenir un registre des traitements : qui est concerné ?

L’obligation de tenir un registre des traitements s’adresse à tous les responsables de traitement et leurs sous-traitants. Ce principe connaît néanmoins quelques exceptions. Ainsi, les organisations avec moins de 250 collaborateurs ne sont pas tenues de tenir un registre des traitements sauf si :

  • Le traitement est récurrent (gestion de la clientèle, gestion du personnel…) ;
  • Le traitement comporte des risques pour les droits et libertés des personnes concernées ;
  • Le traitement porte sur des données classées sensibles (données médicales, orientation sexuelle, penchants politiques…) ;
  • Le traitement porte sur des données judiciaires (infractions, casier judiciaire…).
  • Même si vous n’avez pas l’obligation de tenir un registre des traitements, il vous sera quand même d’une grande utilité pour la mise en conformité et le respect de vos obligations légales.
  • La première exception quoiqu’il en soit oblige la quasi-totalité des entreprises à tenir un registre !

Quelles informations doivent figurer dans le registre des traitements ?

Les informations à indiquer dans le registre des traitements peuvent varier en fonction de votre statut : responsable du traitement ou sous-traitant.

Les informations à indiquer pour le responsable du traitement

Si vous êtes un responsable du traitement, votre registre doit contenir :

  • Vos informations personnelles et celles de votre DPO (nom, adresse…) ;
  • Une description détaillée des buts et finalités du traitement ;
  • Des informations sur les catégories de données traitées (données d’identification, données sensibles…) ;
  • Des informations sur les catégories de personnes à qui appartiennent les données traitées (prestataires, mineurs, clients…) ;
  • Les destinataires des données ;
  • Les mesures prises en cas de transferts des données hors de l’UE ;
  • Le délai de conservation des données ;
  • Des informations sur les mesures de sécurité organisationnelles et techniques que vous avez mises en place au sein de votre organisation pour optimiser la protection des données personnelles.

Les informations à indiquer si vous êtes sous-traitant

Si vous êtes un sous-traitant, vous devez indiquer les informations suivantes dans votre registre du traitement :

  • Vos informations personnelles et celles du responsable du traitement auprès duquel vous rendez des comptes ;
  • Les catégories de traitement que vous effectuez ;
  • Les informations sur les transferts ;
  • Les informations sur les mesures organisationnelles et techniques que vous avez prises pour protéger vos données.

Comment tenir un registre du traitement ?

Vous êtes libre de choisir la mise en forme de votre registre puisqu’il n’existe aucun modèle de type obligatoire. Néanmoins, veillez à ce que votre registre soit bien compréhensible et lisible. Si vous voulez vous faciliter la vie, vous pouvez toujours vous inspirer du modèle de registre mis à disposition par la CNIL sur son site.

Vous pouvez également optez pour un outil de gouvernance du RGPD, comme la solution Privacil du Groupe DPMS. En effet, les fichiers type Excel, s’ils peuvent répondre aux obligations de ‘contenu’ du registre, ne peuvent que difficilement être une preuve juridique de l’existence de vos traitements comme l’étaient les formalités préalables. Un ‘outil’ devra ainsi permettre la traçabilité des actions réalisées sur le registre ainsi qu’une historisation.