La tenue d’un registre des traitements des données personnelles dans le cadre du RGPD

Le RGPD, applicable à partir du 25 mai 2018, vient modifier en profondeur les pratiques des entreprises en matière de protection des données personnelles. Parmi l’un des principes les plus importants à la base du RGPD, il y a le principe d’accountability. Ce n’est pas une nouveauté puisqu’on le retrouve déjà dans des textes antérieurs : ISO 29100, Standard de la conférence internationale de Madrir… La différence c’est que le nouveau règlement sur la protection des données entend y donner des applications plus larges.
Parmi ces applications, il y a l’obligation généralisée de tenir un registre de toutes les activités de traitements. Dorénavant, l’obligation de tenir un registre des traitements ne se limitera donc plus aux responsables des traitements, mais sera étendue aux sous-traitants.

Généralisation de l’obligation de tenir un registre

Contexte

L’existence d’un registre de traitement n’est pas une nouveauté. Déjà au temps de la loi informatique et liberté, il fallait tenir un registre pour les traitements exonérés de déclaration auprès de la CNIL. La tenue du registre était à la charge du correspondant informatique et libertés. Ce dernier se basait sur les informations données par le responsable du traitement pour tenir son registre.

Le RGPD oblige les responsables du traitement et les sous-traitants de tenir un registre des traitements. Avant, les sous-traitants n’étaient pas soumis à cette obligation. Cette généralisation de l’obligation de tenir un registre des traitements est l’une des applications majeures du principe d’accountability. Pour rappel, ce dernier impose de prendre les mesures internes nécessaires pour optimiser la protection des données et faciliter l’apport de preuve en cas de contrôle ou en cas de litige devant un tribunal.

Avantages

Contrairement à ce que l’on pourrait penser, la généralisation de l’obligation de tenir un registre des traitements ne va pas rendre la vie difficile aux organismes qui y sont soumis. Certes, cela va grandement faciliter les contrôles effectués par la CNIL. Mais cette généralisation va également profiter aux responsables et aux sous-traitants puisqu’ils pourront appliquer de manière plus efficace et plus éclairée les règles contenues dans le RGPD.

Et pour cause, avec un registre bien tenu, il sera plus aisé d’avoir une vue d’ensemble des activités de traitements menées. Il sera d’autant plus facile de découvrir les éventuels écarts à la loi : destination des données, catégories des données, caractères, finalités…

Mais l’acteur qui profite le plus de cette généralisation de l’obligation de tenir un registre est sans aucun doute les personnes concernées par les traitements. Dans une large mesure, l’extension de l’obligation de tenir un registre des traitements offre une garantie plus importante que leurs données seront manipulées dans le respect de leurs droits et bénéficieront d’une protection encore plus accrue.

Les organismes qui doivent tenir un registre des traitements

Toutes entreprises et les administrations qui emploient plus de 250 personnes sont concernées par cette obligation.
Mais celles qui emploient moins de 250 personnes ne sont pas totalement étrangères à cette obligation. Elles devront également tenir un registre des traitements si leurs traitements portent sur des données sensibles (informations relatives à des condamnations ou à des infractions) ou sont susceptibles de présenter un grand risque pour les droits et libertés individuelles.
Notez que l’absence de désignation d’un délégué à la protection des données ne dispense pas de l’obligation de tenir un registre.

Peut-on communiquer un registre aux tiers ?

Jusqu’à ce jour, la loi n’est pas encore claire sur ce point. En temps normal, le registre doit être présenté à la CNIL quand cette dernière en fait la demande. Et si l’on se réfère à l’esprit du RGPD (principe de transparence), il n’y a, à première vue, aucune raison qui pourrait justifier le refus de communiquer un registre aux tiers. Il pourra donc être communiqué à tout moment à toute personne qui en fait la demande.

Contenu d’un registre

Le RPGD ne dresse pas une liste exhaustive des informations qui devraient figurer sur un registre. Mais au minimum, ce dernier devrait contenir les informations suivantes :

  • Le nom du responsable du traitement ou de son représentant, le cas échéant, le nom du DPO ;
  • Les finalités du traitement ;
  • Les différentes catégories de données traitées ;
  • Les personnes concernées par le traitement ;
  • Les destinataires des données ;
  • Les délais prévus de destruction des données,
  • La description des mesures de sécurité à mettre en place pour protéger les données ;
  • Les garanties de sécurité supplémentaires pour les cas de transfert de données à l’international ;

Tenir un registre complet suffit-il pour être en conformité avec le RGPD ?

Il faut le dire, la seule tenue du registre ne suffit pas pour satisfaire aux nouvelles normes imposées par le RGPD. En plus, il faut mener des analyses d’impact sur les traitements portant sur les données sensibles, offrir des garanties d’encadrement pour les transferts de données hors de l’UE et mettre en place une procédure garantissant une meilleure protection des données des personnes fichées. Enfin, les contrats avec les fournisseurs doivent être actualisés et prendre en considération les nouvelles règles sur la protection des données.

Quelques conseils pour tenir un registre

Pour maintenir la conformité d’un registre, il faut être méthodique. Voici quelques points à revoir pour se faciliter la tenue d’un registre en conformité dans le temps :

  • Faire le point sur toutes les procédures liées à la protection des données personnelles ;
  • Désigner la personne chargée de la tenue et affecter des moyens financiers et humains adaptés ;
  • Informer tout le personnel dont l’activité pourrait impacter sur la tenue du registre des nouvelles règlementations en vigueur ;
  • Définir et catégoriser chaque type de traitement ;
  • Désigner un responsable du traitement ;
  • Identifier les données qui ont été transférées hors de l’UE ;
  • Faire une remontée régulière des informations ;
  • Élaborer une trame de registre pour indiquer la finalité des traitements (un modèle élaboré par la CNIL est disponible) ;
  • Revoir régulièrement le système de protection (opération effectuée conjointement par la direction des systèmes d’information et le responsable du traitement).