Registre des activités de traitement : à quoi ça sert ?
Sommaire
Le registre des activités de traitement est un document indispensable pour tout organisme traitant des données à caractère personnel. En renseignant un certain nombre d’informations centrales, il permet aux compagnies de piloter leur mise en conformité au RGPD.
Qu’est-ce que le registre des activités de traitement ?
L’article 30 du Règlement général sur la protection des données (RGPD) impose la mise en place d’un registre des données traitées. C’est un document qui permet de renseigner toutes les informations à caractère personnel récoltées et utilisées par un organisme. Il doit notamment permettre d’identifier :
- Les parties prenantes ;
- Les catégories de données ;
- Leur finalité ;
- Les responsables des données (ceux qui les traitent) ;
- La durée de conservation ;
- Leur technique de sécurisation.
Obligation légale, le registre est toutefois utile aux entreprises puisqu’il leur permet de piloter leur mise en conformité au RGPD. En effet, en regroupant toutes les informations récoltées dans ledit document, les compagnies ont une vue d’ensemble sur leurs pratiques. Elles peuvent dès lors analyser si l’usage qu’elles font de ces informations est dans les règles et ainsi ajuster leur conduite. C’est également un moyen d’identifier les risques concernant la protection de ces données.
La tenue du registre est confiée aux personnes en charge du traitement des données, voire des sous-traitants. Il faut savoir qu’une entreprise peut mandater une personne pour effectuer la tâche : le délégué à la protection des données, ou DPD. Si cette nomination est facultative dans le privé, elle est en revanche obligatoire dans les organismes publics (État, collectivités territoriales, etc.). Le DPD (ou DPO en anglais) aura alors pour mission d’assurer le respect, par l’organisme, de la législation sur la protection des données.
Registre des activités de traitement : quel contenu ?
Dans le cas d’une entreprise exerçant à la fois en tant que responsable de traitement des données et sous-traitant, la Commission nationale de l’informatique et des libertés (CNIL) recommande de tenir deux registres différents.
Contenu du registre tenu par le responsable du traitement des données
Ce registre est dédié au traitement des informations personnelles dont la compagnie est elle-même responsable. Il doit contenir toutes les utilisations faites par l’organisme. Il doit indiquer la dénomination sociale de l’entreprise ainsi que ses coordonnées. Si un DPD a été nommé, les mêmes informations le concernant devront apparaître.
Plus concrètement, le registre du responsable sera divisé en plusieurs fiches, chacune correspondant à une activité spécifique de l’entreprise (prospection, hébergement des données, etc.). Elles devront comporter, a minima, les données suivantes :
- Le nom et les coordonnées du ou des éventuels responsables conjoints du traitement.
- La raison pour laquelle les données sont collectées.
- Les personnes que lesdites données concernent : collaborateurs, clients, etc.
- La catégorie à laquelle appartiennent les informations : données bancaires, identité, etc.
- Les éventuelles personnes à qui les données seront communiquées (sous-traitant par exemple) et les pays vers lesquels elles pourraient être transférées.
- La durée de conservation.
- Une description des différentes solutions mises en place pour sécuriser ces données.
Contenu du registre tenu par les sous-traitants
Lorsqu’une compagnie exerce en tant que sous-traitant pour des clients, elle doit créer et tenir un registre dédié. Celui-ci devra renseigner l’ensemble des catégories d’activités de traitement qu’elle aura effectué pour sa clientèle.
De la même façon que pour le registre du responsable, il devra se composer de différentes fiches et renseigner les noms et coordonnées de la compagnie ainsi que celles de l’éventuel DPD.
Enfin, chaque catégorie d’activité effectuée pour les clients devra a minima contenir :
- Le nom et les coordonnées de chacun des clients responsables de traitement ainsi que pour les sous-traitants auxquels l’entreprise fait appel.
- Les catégories de traitements de données réalisés pour le compte des clients de la compagnie.
- Les éventuels transferts desdites informations personnelles vers un autre pays.
- Une description globale des solutions de sécurité appliquées.
Les organismes concernés par le registre
Tout organisme traitant des données à caractère personnel, qu’il soit privé ou public et indépendamment de sa taille, doit tenir un registre des activités de traitement.
Cependant, les entreprises de moins de 250 salariés disposent d’une dérogation. En effet, s’agissant des informations à consigner dans ledit document, elles ont pour obligation légale de ne renseigner que les traitements de données qui :
- Sont réguliers (et non occasionnels). Cela comprend, par exemple, la gestion des paies.
- Portent sur des informations sensibles, telles que les données de santé ou les activités syndicales.
- Comportent des risques au niveau des droits des personnes (vidéosurveillance, par exemple).
Par ailleurs, un registre spécifique devra être établi pour toute activité de sous-traitance de données à caractère personnel. À ce sujet, la Commission nationale de l’informatique et des libertés (CNIL) a produit un guide.
Une fois mis en place, ces registres doivent, en temps normal, rester sans la sphère interne de l’entreprise. Toutefois, ils peuvent être transmis à la CNIL si elle en fait la demande, dans le cas d’un contrôle de conformité, par exemple.
Guides par thématiques
Choisissez la catégorie de la définition à consulter.
- Assemblée générale (7)
- Auto-entrepreneur (16)
- Brevet (18)
- Business plan (6)
- Création d'entreprise (36)
- Cycle de vie de l'entreprise (6)
- Financement (7)
- Fiscalité (15)
- Formalités et démarches d'entreprise (11)
- Franchise (8)
- Gestion comptable et financière (16)
- Marque (8)
- Obligations légales des entreprises (6)
- Obligations sociales du dirigeant (12)
- Publication des comptes annuels (8)
- RGPD (7)