Qu’est-ce que le registre des traitements ?
Le registre des activités de traitements est LE document indispensable pour commencer à démontrer votre respect de la réglementation sur la protection des données personnelles (RGPD mais aussi loi Informatique et Libertés, entre autres).
Document interne de l’entreprise, le registre des traitements est en réalité une sorte de wiki qui recense les traitements de données personnelles réalisés au sein de votre entreprise. Il permet de disposer d’une vue d’ensemble de ce que vous faites avec les données.
Qui doit tenir un registre des traitements ?
L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.
Il existe une mauvaise interprétation du RGPD selon laquelle les entreprises de moins de 250 salariés sont exemptées de l’obligation de tenir un registre des traitementsi. C’est FAUX : la dérogation est limitée à certains cas très particuliers de traitements qui n’ont pas besoin d’être inscrits au registre de l’entreprise de moins de 250 salariés. Cela veut dire que même si vous entreprenez seul.e ou avec une très petite équipe, vous DEVEZ tenir un registre !
Que contient le registre des traitements RGPD ?
Les informations suivantes doivent apparaître sur le registre du responsable de traitementii :
- les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
- les catégories de données traitées,
- à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
- combien de temps vous les conservez,
- comment elles sont sécurisées.
Lorsque l’entité est sous-traitante au sens de l’article 28 du RGPD, le registre devra contenir certaines mentions spécifiques en identifiant notamment les clients et les traitements sous-traités.
Comment rédiger le registre des traitements ?
L’établissement d’un registre des traitements, et son actualisation régulière, est une étape clé de la mise en conformité au RGPD.
Sa création et sa mise à jour vous permettront de vous poser les bonnes questions, par exemple :
- Ai-je vraiment besoin de cette information pour tel usage ?
- Combien de temps je garde les données ?
- Est-ce que je protège suffisamment ces informations ?
En pratique, les étapes suivantes seront nécessaires à la rédaction du registre des traitements RGPD :
- Rassembler l’ensemble des informations disponibles : en rencontrant les responsables opérationnels de chaque service susceptible de traiter des données personnelles, et en collectant la documentation existante (contrats, process…)
- Établir la liste des traitements et compléter une fiche de registre spécifique à chaque activité.
- À partir des informations consignées dans le registre, évaluer les risques liés aux traitements de données effectués.
Vous pourrez ainsi hiérarchiser vos risques et établir votre plan d’action vers la mise en conformité de vos traitements.
Ce n’est que lorsque votre registre sera établi que vous pourrez établir efficacement les autres documents requis pour la conformité, dont la politique de confidentialité.
La CNIL propose sur son site internet un modèle de registre des traitements simplifié adapté pour les petites structures (TPE-PME, petites collectivités, associations…).
CTA : Besoin d’aide pour faire votre registre des traitements ?
Faut-il le mettre à jour ?
Le registre des traitements un document vivant, un outil de pilotage de la conformité qui doit refléter la réalité de la situation de votre entreprise.
Il faut donc le mettre à jour régulièrement, en particulier lorsque les conditions de mise en œuvre d’un traitement évoluent (ajout de nouvelles données collectées, identification de nouveaux destinataires, etc.)
Vous souhaitez être accompagnés pour votre mise en conformité au RGPD ?
i Il s’agit de l’article 30, point 5 du RGPD.
ii Les mentions obligatoires figurent à l’article 30 du RGPD.