Comment concevoir son registre de traitements (registre RGPD, registre Article 30)

registre RGPD

L’application du Règlement Général sur la Protection des Données (RGPD) a été accompagnée par l’obligation, pour tout organisme qui recueille et collecte des données à caractère personnel, de mettre en œuvre des outils concrets pour s’assurer de leur conformité à la loi. L’une de ces mesures est la tenue d’un registre des activités de traitement. Que doit contenir ce registre et comment faut-il le créer ?

Un registre pour les données personnelles

Devant la profusion des données personnelles qu’elle est amenée à manipuler, une entreprise a tout intérêt à en posséder une vue complète et détaillée. C’est dans ce but que la tenue du registre de traitement lui est imposée. Très concrètement, il s’agit d’un fichier dans lequel sont consignées toutes les informations liées aux données en question, leur nature, leur destination et les personnes habilitées à les traiter. 

Ce recensement a non seulement pour objectif de fournir un état des lieux toujours actualisé des données personnelles, mais aussi de fournir à l’organisme la base sur laquelle il pourra s’appuyer pour maintenir sa conformité au RGPD. Le registre des traitements est donc un outil central de pilotage de la conformité RGPD des organisations.

Quelle procédure pour créer un registre de traitement ?

Un organisme peut collecter des données personnelles pour le besoin de ses propres activités ou pour le compte d’un organisme tiers. Il est alors :

  • Responsable de traitement dans le premier cas, et
  • Sous-traitant dans le second.

S’il cumule les deux rôles, un registre distinct doit être conçu pour chacun de ces rôles.

Il s’agit, dans un premier temps, d’identifier les sources de données personnelles dans l’entreprise, ainsi que les personnes amenées à les traiter. L’étape suivante consiste à dresser une liste des activités qui engendrent le traitement de telles données, en les classant selon leurs finalités (objectifs des traitements pour lesquels des données personnelles sont nécessaires). 

Ensuite, une fiche particulière doit être élaborée pour chacune de ces activités. Chaque fiche peut prendre par exemple la forme d’un tableau. Soigneusement mise à jour dès qu’un élément nouveau apparaît, elle constitue l’outil de travail pour la mise en conformité avec le RGPD. Elle aide à identifier les risques présentés par l’une ou l’autre de ces données et à prendre les décisions de mise en conformité adéquates.

Que doit-on faire figurer sur une fiche ?

Le registre d’un sous-traitant comportera moins d’éléments que celui d’un responsable de traitement. Ainsi, sur chaque fiche, outre les coordonnées de l’organisme et le nom éventuel du Délégué à la Protection des Données (DPO), doivent figurer celles de chacun de ses clients, qu’ils soient eux-mêmes sous-traitants ou responsables de traitement. S’y ajoutent les catégories de traitements réalisés pour leur compte, ainsi que les informations de transfert des données personnelles en dehors de l’Union Européenne et les mesures pratiques prises pour les sécuriser. 

La fiche du registre d’un responsable de traitement, quant à elle, doit comporter, en plus de ces éléments, les catégories des personnes concernées et des données qui leur sont attachées, de même que celles des personnes destinataires. Elle précise enfin les finalités du traitement pour chacune des données et leur délai de conservation au sein de la base de données.

RGPD - Informations registre de traitement (art.30 du RGPD)

À qui est destiné un tel registre ?

Les premiers bénéficiaires du registre des activités de traitement sont bien sûr les entreprises, qui disposent là d’une base de travail pour vérifier dans le détail leur conformité au RGPD. Ce document peut aussi être réclamé par les services de la CNIL dans le cadre d’un contrôle. 

Si le registre émane d’un service public, toute personne qui souhaite en prendre connaissance peut le réclamer, sans toutefois que certaines informations très sensibles demeurent visibles. En tant qu’autorité chargée de faire respecter l’obligation de protections des données personnelles, la CNIL est d’ailleurs la première à mettre son registre à la disposition des internautes !

Image de Pierre Bouffay
Pierre Bouffay

Vous souhaitez constituer votre registre de traitements RGPD ?