Le registre des activités de traitements, communément appelé « registre de traitements », est un document destiné à recenser les traitements de données à caractère personnel effectués par une entité publique ou privée.
Qui est concerné par la constitution d'un registre de traitements ?
Celui-ci précise toutefois que les organisations de moins de 250 salariés ne sont pas tenues à l’obligation de constituer un registre de traitements, excepté dans certains cas particuliers. Il en est ainsi lorsque le traitement :
- est susceptible de comporter un risque pour les droits et libertés des personnes concernées,
- n’est pas occasionnel,
- porte sur les catégories particulières de données listées à l’article 9, paragraphe 1, du RGPD. Cet article concerne les données relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques ou à l'appartenance syndicale. L’article 9 vise également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé ainsi que les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique,
- concerne des données relatives aux condamnations pénales et aux infractions.
Pourquoi faire un registre de traitements ?
La constitution de ce registre permet à l’organisation d’établir une documentation détaillée des traitements de données et d’en tirer toutes les conséquences qui s’imposent. Par exemple, si le registre révèle qu’une catégorie de données traitées ne sont pas suffisamment protégées, l’organisation devra mettre en œuvre les dispositions adaptées.
Le registre de traitements est également le document de référence à communiquer à la CNIL en cas de demande.
Quels sont les risques en cas de non-respect de l’obligation de constituer le registre ?
La méconnaissance des dispositions du RGPD expose l’organisation à des conséquences pouvant aller du rappel à l'ordre à une sanction pécuniaire prononcée par la CNIL.
Cette sanction peut s’élever jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires mondial, la CNIL retenant le montant le plus élevé. De plus, la sanction peut être rendue publique.
De quoi est-il composé ?
Concernant le registre d’un responsable de traitements, l’article 30 du RGPD indique qu’il doit contenir les éléments suivants :
- le nom et les coordonnées du responsable du traitement.
- s’il y a lieu, le nom et les coordonnées du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données.
- les finalités du traitement, c’est-à-dire l’objectif poursuivi par le responsable du traitement.
- les catégories de personnes concernées et de données à caractère personnel visées par le traitement.les catégories de destinataires des données à caractère personnel traitées.
- les éventuels transferts de données à caractère personnel vers un Etat tiers ou une organisation internationale. Si l’Etat tiers concerné n’a pas fait l’objet d’une décision d’adéquation, le responsable du traitement doit intégrer au registre les documents attestant de l'existence de garanties appropriées.
- les délais prévus pour l’effacement des différentes catégories de données (si cela est possible).
- les mesures de sécurité techniques et organisationnelles mises en place afin de garantir un niveau de sécurité adapté au risque.
Le registre de traitements d’un sous-traitant est en principe moins détaillé que celui du responsable de traitements, mais doit tout de même contenir les éléments suivants :
- le nom et les coordonnées du sous-traitant.le nom et les coordonnées de chaque responsable de traitements pour le compte duquel le sous-traitant effectue un ou plusieurs traitements de données à caractère personnel.
- s’il y a lieu, le nom et les coordonnées du représentant du sous-traitant ainsi que du délégué à la protection des données du sous-traitant.
- les catégories de traitements réalisés pour le compte de chaque responsable de traitements.
- les éventuels transferts de données à caractère personnel vers un Etat tiers ou une organisation internationale. Si l’Etat tiers concerné n’a pas fait l’objet d’une décision d’adéquation, le sous-traitant doit intégrer au registre les documents attestant de l'existence de garanties appropriées.
- les mesures de sécurité techniques et organisationnelles mises en place afin de garantir un niveau de sécurité adapté au risque.
Comment constituer son registre de traitements ?
Le RGPD n’impose pas de format particulier pour la constitution du registre de traitements. Le paragraphe 3 de l’article 30 indique simplement que le registre des traitements doit être présenté sous une forme écrite, ce qui inclut le format électronique. Le registre des traitements peut donc être réalisé sur un format papier ou numérique à la discrétion de la personne chargée de le constituer.
Toutefois, quel que soit le format choisi, nous vous recommandons d’établir votre registre de manière suffisamment claire et structurée pour qu’il soit facilement compris par les membres de l’entité dont il recense les activités de traitements ainsi que par les membres de la CNIL qui voudraient en vérifier le contenu.
Pour vous permettre de constituer votre registre de traitements le plus simplement possible tout en répondant au mieux aux exigences du RGPD et aux attentes de la CNIL, nous avons développé un registre des traitements numériques personnalisable et facile d’utilisation.
Nous vous proposons ainsi de répondre à des questionnaires relatifs aux traitements de données que vous effectuez et qui vous permettront de générer automatiquement les fiches correspondantes. Le registre des traitements se constituera automatiquement à partir de ces fiches, et vous pourrez le consulter et le modifier à votre convenance.
N’hésitez pas à prendre contact avec nous pour plus d’informations.
Quoi
IT | IP | Data
• IT | IP | Data