L’obligation de tenir un registre des traitements
L’article 30 du RGPD impose a tout responsable de traitement et a tout sous-traitant de tenir un registre des activites de traitement effectuees sous leur responsabilite. Ce registre constitue le document de reference qui recense l’ensemble des traitements de donnees personnelles mis en oeuvre par l’organisation.
Bien que les organisations de moins de 250 salaries beneficient d’une derogation, celle-ci est tres limitee en pratique. La derogation ne s’applique pas aux traitements non occasionnels, aux traitements susceptibles de comporter un risque pour les droits et libertes des personnes, ni aux traitements portant sur des donnees sensibles. En realite, quasiment toutes les organisations doivent tenir un registre.
Le contenu du registre du responsable de traitement
Pour chaque traitement, le registre doit mentionner le nom et les coordonnees du responsable de traitement et du DPO, les finalites du traitement, les categories de personnes concernees et les categories de donnees personnelles traitees. Les categories de destinataires auxquels les donnees sont communiquees doivent egalement figurer.
Le registre indique les transferts de donnees vers un pays tiers avec les garanties appropriees, les delais prevus pour l’effacement des differentes categories de donnees, ainsi qu’une description generale des mesures de securite techniques et organisationnelles mises en oeuvre.
Construire et maintenir le registre
La construction du registre debute par une cartographie des traitements. Le DPO interroge chaque service de l’organisation pour identifier les traitements de donnees personnelles : service RH, service commercial, service informatique, service marketing, direction financiere. Chaque traitement est documente dans une fiche dediee.
Le registre doit etre un document vivant, mis a jour a chaque evolution significative : nouveau traitement, modification d’un traitement existant, changement de sous-traitant, evolution des finalites. Le DPO est le garant de la tenue a jour du registre et doit mettre en place un processus de mise a jour regulier.
La CNIL met a disposition un modele de registre au format tableur qui peut servir de base. Cependant, pour les organisations traitant un grand nombre de donnees, un outil dedie de gestion de la conformite RGPD facilite considerablement la tenue et la mise a jour du registre.
Le registre comme outil de pilotage de la conformite
Au-dela de l’obligation reglementaire, le registre des traitements constitue un veritable outil de pilotage de la conformite. Il permet d’identifier les traitements a risque necessitant une AIPD, de verifier la coherence des bases legales utilisees, de s’assurer que les durees de conservation sont definies et respectees, et de controler la conformite des transferts de donnees.
En cas de controle de la CNIL, le registre est le premier document demande. Un registre complet, a jour et coherent temoigne de la maturite de l’organisation en matiere de protection des donnees. A l’inverse, un registre inexistant, incomplet ou obsolete constitue un manquement pouvant faire l’objet d’une sanction.
