Qu’est-ce que le registre des traitements ?
Le registre des traitements est un document obligatoire impose par l’article 30 du RGPD. Il recense l’ensemble des traitements de donnees personnelles realises par votre organisme. Ce document constitue la pierre angulaire de votre conformite : il permet de cartographier vos traitements, d’identifier les risques et de demontrer votre responsabilite en cas de controle de la CNIL.
Toute structure traitant des donnees personnelles doit tenir un registre, qu’il s’agisse d’une entreprise, d’une association, d’une collectivite ou d’un etablissement public. Les organismes de moins de 250 salaries beneficient d’un allegement mais doivent tout de meme documenter les traitements courants, les traitements non occasionnels et ceux portant sur des donnees sensibles.
Les mentions obligatoires du registre
Le registre doit contenir, pour chaque traitement, un ensemble d’informations precises. L’article 30 du RGPD liste les mentions obligatoires suivantes.
Les informations generales
Chaque fiche de traitement doit mentionner le nom et les coordonnees du responsable de traitement, du DPO le cas echeant, et des eventuels responsables conjoints. La finalite du traitement doit etre decrite de maniere claire et specifique.
Les categories de donnees et de personnes
Vous devez identifier les categories de personnes concernees (salaries, clients, prospects, patients) et les categories de donnees traitees (identite, coordonnees, donnees bancaires, donnees de sante). Soyez le plus precis possible pour faciliter l’analyse des risques.
Les destinataires et transferts
Le registre doit indiquer les categories de destinataires des donnees, y compris les sous-traitants. En cas de transfert hors Union europeenne, vous devez preciser le pays de destination et les garanties mises en place (clauses contractuelles types, decision d’adequation).
Les durees de conservation
Pour chaque traitement, vous devez definir la duree de conservation des donnees ou les criteres permettant de la determiner. La CNIL recommande de distinguer trois phases : la conservation en base active, l’archivage intermediaire et la suppression definitive.
Comment construire son registre etape par etape
La mise en place du registre necessite une demarche methodique. Commencez par recenser tous les traitements existants en interrogeant chaque service de votre organisme. Pour chaque traitement identifie, creez une fiche detaillee reprenant les mentions obligatoires.
Organisez votre registre de maniere logique, par exemple par service ou par finalite. Chaque fiche doit etre suffisamment detaillee pour permettre a un controleur de la CNIL de comprendre le traitement en question. Prevoyez un processus de mise a jour regulier, car le registre doit refleter la realite de vos traitements a tout moment.
Modele de fiche de traitement
Voici les rubriques essentielles d’une fiche de traitement type : nom du traitement, date de creation et de derniere mise a jour, responsable du traitement, finalite principale et finalites secondaires, base legale, categories de personnes concernees, categories de donnees collectees, source des donnees, destinataires internes et externes, transferts hors UE, duree de conservation, mesures de securite techniques et organisationnelles.
La CNIL propose un modele de registre simplifie sur son site internet. Vous pouvez egalement utiliser un tableur ou un logiciel specialise pour faciliter la gestion et la mise a jour de votre registre.
Les erreurs frequentes a eviter
Plusieurs erreurs reviennent regulierement dans les registres controles par la CNIL. La premiere consiste a creer un registre trop generique avec des fiches vagues qui ne permettent pas de comprendre les traitements. La deuxieme erreur est de ne pas mettre a jour le registre : un document obsolete est presque aussi problematique que l’absence de registre.
Evitez egalement de confondre le registre du responsable de traitement et le registre du sous-traitant. Si votre organisme agit dans les deux roles, vous devez tenir deux registres distincts. Enfin, n’oubliez pas de documenter les mesures de securite pour chaque traitement.
Le registre du sous-traitant
Si vous traitez des donnees pour le compte d’autres organismes, vous devez egalement tenir un registre de sous-traitant. Ce registre doit mentionner les coordonnees de chaque responsable de traitement pour lequel vous agissez, les categories de traitements effectues, les transferts hors UE eventuels et les mesures de securite mises en place.
Article redige par Laurent de Cavel, DPO certifie et fondateur de DPO Partage. Accompagnement RGPD sur mesure pour toutes les structures.
