Registre de traitements RGPD : intérêt et rédaction

Tenir un registre de traitements est essentiel pour votre mise en conformité. Non seulement, il est obligatoire, mais c'est aussi un outil de pilotage pour l'ensemble de vos activités de traitement.

La mise en œuvre de ce chantier est le meilleur moyen de prendre conscience de la quantité de données personnelles en votre possession et de commencer votre travail de documentation chère au RGPD.

Obligation légale et objectifs du registre de traitements

Registre des traitements : un vrai tableau de bord

Le registre des traitements est prévu à l'article du 30 du RGPD. Il s'agit tout simplement d'un document qui recense les activités de traitements de données personnelles et aide à l'analyse de la conformité de ces dernières.

Cela permet à un organisme de disposer d'une vue d'ensemble sur les données personnelles traitées et la façon dont elles sont exploitées grâce aux points suivants : les finalités/objectifs des traitements réalisés, les personnes concernées, les destinataires des données, les transferts en dehors de l'Union Européenne, les délais d'effacement et enfin les mesures de sécurité adoptées.

Un registre des activités de traitement est - au-delà de l'obligation imposée par le RGPD - incontournable pour votre conformité.

D'une part, ce registre participe au respect de l'accountabilty qui oblige chaque entreprise à prouver qu'elle a pris les dispositions nécessaires pour la protection des données personnelles.

D'autre part, sa tenue est l'occasion de cartographier l'ensemble des activités impactant des données personnelles, d'effectuer un audit régulier des traitements et de prioriser les différentes actions RGPD à mener.

Registre des activités : quels sont les traitements de données concernés ?

Une donnée personnelle est toute information se rapportant à une personne physique identifiée (nom, prénom, coordonnées comme l'adresse mail ou le numéro de téléphone) ou identifiable.

Par conséquent, vos équipes sont souvent en première ligne. Dans le cadre de leurs différentes missions, ils travaillent sur des données personnelles.

Les activités de traitement sont nombreuses :

  • le service marketing lors d'envois de newsletters, de SMS marketing, etc.
  • l'équipe CSM lorsqu'ils contactent des clients pour les aider dans la prise en main d'un outil ou d'un service.
  • le service prospection lorsque vos collaborateurs démarchent des personnes par mail, par téléphone ou en physique.
  • les ressources humaines qui traitent les informations de vos collaborateurs pour les fiches de paie ou en cas d'arrêt maladie.

Ces activités impactent des données personnelles qui devront être recensées.

Qui est concerné par la tenue d'un registre des activités ?

Organismes concernés

Que vous soyez un organisme privé ou public importe peu. Le chiffre d'affaires et la taille ne sont pas des éléments qui pourraient vous dispenser de tenir un registre.

Toutefois, l'article 30 du RGPD émet une exception. Si votre organisme a moins de 250 salariés, vous n'êtes pas obligé de tenir de registre des traitements sauf dans les cas suivants : les traitements susceptibles de comporter des risques pour les droits et libertés s'ils sont réguliers ou les traitements de données sensibles (dont les données liées aux condamnations pénales et aux infractions). Dans tous les cas, il reste recommandé de tenir un registre de traitement même si cela n'est pas obligatoire dans ce contexte.

Responsabilité de la tenue du registre des activités

Le respect de l'article 30 relatif au registre des activités de traitement concerne :

  • le responsable de traitement qui est la personne morale ou physique qui détermine les moyens et les finalités/objectifs des traitements des données personnelles collectées et/ou traitées ;
  • le sous traitant qui est la personne morale ou physique qui exploite les données pour le compte du responsable de traitement.

Le RGPD ne précise pas le responsable du maintien à jour du registre au sein de l'entreprise. Ainsi, la mission de tenir un registre des traitements peut incomber à un référent interne, ou au délégué à la protection des données (DPO) si ce dernier a été désigné.

Comment rédiger un registre de traitements ?

Contenu du registre de traitements de données

La distinction entre responsable de traitement et sous traitant est essentielle puisque les éléments du registre diffère selon ces deux statuts.

Les informations du registre du responsable de traitement :

  • le nom et les coordonnées du responsable du traitement (adresse postale et numéro de l'accueil ou du service client par exemple), et du DPO s'il a été désigné ;
  • les finalités des traitements de données (gestion des fichiers clients, analyses marketing, sécurisation des locaux, etc) ;
  • la description des catégories de personnes concernées (prospects, clients, salariés, etc.) et des catégories de données personnelles (données d'identification, liées à la vie professionnelle, de géolocalisation, etc.) ;
  • les catégories de destinataires (services concernés internes ou externes, sous-traitants etc.) ;
  • le cas échéant, les transferts de données personnelles vers un pays en dehors de l'Union Européenne ;
  • les délais prévus pour l'effacement des différentes catégories de données ;
  • les mesures de sécurité techniques et organisationnelles.

Les informations du registre des sous traitants :

  • le nom et les coordonnées du sous traitant (adresse postale et numéro de l'accueil ou du service client par exemple), et de chaque responsable de traitement pour le compte duquel le sous-traitant agit (les coordonnées du DPO du responsable de traitement peuvent être indiquées), et du DPO du sous-traitant s'il a été désigné ;
  • les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
  • le cas échéant, les transferts de données personnelles vers un pays en dehors de l'Union Européenne;
  • une description générale des mesures de sécurité techniques et organisationnelles.

Forme et structure du registre des activités

Le RGPD n'impose aucune obligation spécifique quant à la forme du registre des traitements. Ce dernier doit seulement être écrit. Carnet papier, tableau Excel ou logiciel dédié comme Leto, le principal c'est qu'il soit exhaustif et mis à jour régulièrement.

Toutefois, un registre doit surtout être logique et lisible dans le contexte de l'entreprise (n'oubliez pas le principe d'accountability, surtout en cas de contrôle de la CNIL).

Nous vous conseillons de mandater un responsable par service afin de :

  • recenser les données personnelles traitées par activités métiers puis par finalités de traitements auxquelles elles sont soumises ;
  • identifier les logiciels utilisés ;
  • identifier les destinataires internes et externes (comme les sous-traitants, logiciels ou bien encore prestataires) ;
  • décrire les process de sécurité.

Ici, c'est l'occasion d'identifier les données personnelles non nécessaires au regard de l'activité métier (principe de minimisation) et de demander leur suppression ou la limitation des accès à ceux qui n'ont plus la légitimité d'effectuer des traitements (anciens salariés par exemple).

Exemples de registre de traitements remplis de données personnelles

La CNIL a créé et publié un modèle simplifié de registre de traitements afin d'aider les entreprises dans la création de leur registre.

Vous pouvez également vous inspirer du registre de la CNIL qu'elle a publié sur son site internet pour compléter le votre.

Dans tous les cas et comme précisé plus haut, voici les informations incontournables :

  • Objectifs/finalités poursuivis lorsque cela implique le traitement de données personnelles ;
  • Catégories de données collectées ;
  • Catégories de personnes concernées ;
  • Durée de conservation des catégories de données ;
  • Catégories de destinataires des données ;
  • Transfert des données hors union européenne ;
  • Sécurité.

Constitution et mise à jour du registre en pratique

En théorie, tenir un registre semble assez simple. Sur le terrain, il est parfois compliqué de rassembler et trier une telle masse de données.

Le data mapping RGPD de Leto est une solution pour vous faire gagner du temps sur votre conformité :

  • Identification des données permettant d'identifier directement ou indirectement des personnes ;
  • Classification des données personnelles selon leur nature ;
  • Analyse des traitements sur l'utilisation, le stockage, la suppression des données, les flux des données personnelles au sein de l'organisme ou avec des tiers ;
  • Détermination des bases légales pour que chaque activité ait un fondement juridique approprié ;
  • Évaluation des risques pour les droits et libertés des personnes concernées ;
  • Documentation pour la responsabilité puisque le data mapping peut servir de preuve pour votre conformité ;
  • Mise à jour facilitée dès qu'un nouveau traitement est recensé.

Conclusion :

Le registre de traitements est le premier document que vous devez mettre en place en tant que responsable de traitement ou sous traitant.

ll vous permettra de cartographier toutes les activités impactant des données personnelles au sein de votre entreprise, d'effectuer un audit sur la conformité de celles-ci, identifier un plan d'actions et étoffer votre documentation RGPD.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?