Le registre de traitement

À quoi sert le registre de traitement des données ?

Le registre doit refléter la réalité du traitement des données personnelles et permettre l’identification :

• des parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données ;
• les catégories de données traitées ;
• l’utilité de ces données, qui peut y avoir accès et à qui elles sont communiquées ;
• leur durée de conservation ;
• la politique de suppression mise en place par la société ;
• leur sécurisation.

Pourquoi élaborer un registre de traitement ?

Le document permet à l’organisme de renseigner les utilisateurs sur le traitement de leurs données, ainsi que d’identifier et de hiérarchiser les risques au regard du RGPD.

Le registre permet de répondre notamment aux questions suivantes :

• lesdonnées sont-elles suffisamment protégées ?
• les données collectées sont-elles réellement nécessaires dans le cadre des activités de l’organisme ?
• qui est concerné par le traitement ?
• est-ce pertinent de collecter des données aussi longtemps ?

Qui est concerné par le registre de traitement des données ?

L’obligation de tenir un registre des traitements concerne tous les organismes publics comme privés, quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Il convient de souligner que les organismes chargés de traiter des données personnelles pour le compte d’un autre organisme, doivent également tenir un registre de leurs activités impliquant le traitement de données.

Que contient le registre ?

Les dispositions de l’article 30 du RGPD prévoient les obligations spécifiques pour le registre du responsable du traitement de données personnelles et pour le registre du sous-traitant :

• le premier est à destination de l’organisme responsable du traitement des données personnelles ;
• le second consigne les traitements opérés en tant que sous-traitant (pour le compte d’un client par exemple).

Le registre du responsable de traitement

Ce registre devra contenir l’ensemble des traitements appliquées aux données personnelles, uniquement mis en œuvre par l’organisme concerné.

Le registre devra contenir le nom, les coordonnées de l’organisme et le cas échéant du représentant de l’entité si celle-ci n’est pas établi dans l’Union européenne et de son délégué à la protection des données (DPD).

Pour chaque activité de traitement, la fiche de registre doit comporter les éléments suivants :

• le ou les objectifs en fonction desquels les données ont été collectées ;
• quelles sont les catégories de personnes concernées par le traitement des données (client, prospect, employé, etc.) ;
• la liste des différentes catégories de données personnelles : identité, données bancaires, données de localisation, de connexion, situation familiale ou économique, etc) ;
• les catégories de destinataires auxquels ont été, ou vont être communiquées les données à caractère personnel, y compris les sous-traitants auxquels vous faîtes appel ;
• l’ensemble des transferts de données à caractère personnel vers un autre pays ou une organisation internationale. Devront être également consignées, les garanties prévues
  lors de ces transferts ;
• les délais prévus en ce qui concerne l’effacement de chaque catégorie de données personnelles : leur durée de conservation, ou à défaut les critères pris en compte pour déterminer ces dernières.

Le registre du sous-traitant

Le registre de traitement du sous-traitant doit contenir toutes les catégories d’activités de traitement de données effectuées pour le compte de clients.

Pour chaque catégorie d’activité effectuée pour un client, il doit contenir les éléments suivants :

• le nom et les coordonnées de chaque client, responsable de traitement, pour le compte duquel l’organisme traite les données et, le cas échéant, le nom et les coordonnées de leur représentant ;
• le nom et les coordonnées des sous-traitants auxquels l’organisme fait appel dans le cadre de cette activité ;
• les catégories de traitements effectués pour le compte de chacun des clients, c’est-à-dire les opérations effectivement réalisées pour leur compte
• les transferts de données à caractère personnel vers un autre pays ou bien une organisation internationale ;
• une description générale des mesures de sécurité entreprises pour sécuriser les données (techniques comme organisationnelles).

À quelle fréquence faut-il mettre à jour le registre ?

La CNIL préconise une mise à jour régulière au gré des évolutions fonctionnelles et techniques des traitements de données. En pratique, toute modification apportée aux conditions de mise en œuvre de chaque traitement inscrit au registre doit y être inscrit.

À qui communiquer le registre ?

Le registre est un document interne et évolutif, qui doit avant tout aider l’organisme à piloter sa conformité.

Il doit toutefois pouvoir être communiqué à la CNIL en cas de demande de celle-ci. La Commission pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.

Les organismes du secteur public

Ils seront tenus de communiquer le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et l’administration.

Toutefois, le registre communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information.

Les organismes privés

Ils ne sont pas tenus de communiquer le registre au public. Néanmoins, ils peuvent le communiquer aux personnes qui en font la demande s’ils l’estiment opportun.


Cet article a été rédigé en partenariat avec AD&JURIS INNOV.