RGPD : Etablir un registre des activités de traitement

Qu'est-ce que le registre des activités de traitement ?

Le registre des activités de traitement contient l’ensemble des informations relatives aux différents traitements de données personnelles mis en place par l’entreprise.  

Ce registre doit être mis à jour régulièrement pour vérifier si les données sont encore pertinentes et dès que des évolutions fonctionnelles et techniques sont apportées aux traitements de données personnelles. Ces mises à jour doivent être faites en concertation avec toutes les personnes de l’entreprise susceptibles de traiter des données personnelles.

La périodicité des mises à jour doit être adaptée au regard des traitements en présence : plus le traitement est sensible, plus la période doit être réduite afin d’assurer aux données traitées un niveau de qualité élevé. 

Des mesures doivent ensuite être prises pour que les données à caractère personnel obsolètes ou  inexactes, soient effacées ou rectifiées. 

Qui est par la tenue de ce registre ?

L’obligation de tenir un registre des traitements concerne toutes les entreprises et quelle que soit leur taille, dès lors qu’elles traitent des données personnelles. 

Cette obligation concerne également les ST dont les activités impliquent le traitement de données personnelles pour le compte d’un client. 
En revanche, les entreprises de moins de 250 salariés sont tenus d’inscrire au registre uniquement les traitements de données suivants :

• les traitements non occasionnels tels que la gestion de la paie ou la gestion des clients ;
• les traitements susceptibles de comporter un risque pour les droits et libertés des personnes, tels que les systèmes de géolocalisation ou de vidéosurveillance ;
• les traitements qui portent sur des données sensibles telles que les données de santé. 

En cas de doute sur l’application de cette dérogation à un traitement, la CNIL recommande de l’intégrer dans le registre.

Quelle forme doit prendre le registre ?

Le registre doit se présenter sous une forme écrite, sur support papier ou électronique.

Quelles étapes suivre pour constituer ce registre ?

Avant la constitution du registre, l’entreprise va devoir identifier l’ensemble des traitements de données personnelles c’est-à-dire les activités principales qui nécessitent la collecte de ces données. 

Exemples : recrutement, gestion de la paye, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients prospects, etc.

Pour cela, le RT doit communiquer avec l’ensemble des collaborateurs et salariés susceptibles de traiter des données personnelles.

Il est nécessaire de tenir à jour une liste des traitements de données personnelles mis en œuvre.

Une fois les traitements recensés, l’entreprise va pouvoir concevoir et compléter son registre.

Que doit contenir le registre de traitement ? 

Le registre doit indiquer :

• le nom et les coordonnées du RT ainsi que,  le cas échéant, du représentant, si l’entreprise n’est pas établie dans l’Union européenne ;
• si l’entreprise dispose d’un délégué à la protection des données, son identité doit également être mentionnée dans le registre ;
• les responsables des services opérationnels traitant des données personnelles au sein de l’entreprise;
• la liste des ST.

Ensuite, le RT va devoir créer une fiche à l’intérieur du registre pour chaque activité ou traitement recensée, en inscrivant les informations suivantes : 

• les catégories de données collectées et traitées, telles que le nom, prénom, date de naissance, salaire, etc ;
• la ou les objectifs du traitement de données personnelles ; 
• le fondement juridique du traitement ;
• le lieu où les données sont hébergées et, le cas échéant, vers quels pays les données sont éventuellement transférées ;
• les destinataires des données personnelles collectées, y compris les destinataires dans des pays tiers ou des organisations internationales, tels que le service chargé du recrutement, service informatique, direction, prestataires, partenaires ;
• la durée de conservation pour chaque catégorie de données ;
• les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données.

Qu'est-ce que le fondement juridique du traitement ? 

Le traitement n’est justifié et donc licite que si : 

• la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

• le traitement est nécessaire à l’exécution d’un contrat ;
• le traitement est nécessaire au respect d’une obligation légale à laquelle le RT est soumis
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
• le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
• le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le RT. 

Quels intérêts pour l’entreprise de tenir à jour un registre des activités de traitement ?

La tenue d’un registre des activités de traitement permet à l’entreprise : 

• de ne collecter que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées : le RT répond ainsi au principe de minimisation des données ; 
• de vérifier si des données susceptibles de soulever des risques en raison de leur sensibilité particulière sont collectées : le RT doit alors vérifier que le traitement de ces données soit autorisé ;
• vérifier que seules les personnes habilitées ont accès aux données dont elles ont besoin ;
• identifier les prestataires ST : le RT doit alors actualiser les clauses de confidentialité. 

De cette façon le RT peut mettre en œuvre les mesures techniques et organisationnelles appropriées et peut démontrer que les traitements mise en place sont bien conformes à l’ensemble des obligations imposées par le règlement. 

A qui communiquer le registre ?

Le registre est un document interne, placé sous la responsabilité du RT. 

Le registre doit toutefois pouvoir être communiqué à la CNIL lorsqu’elle le demande. Elle pourra en particulier l’utiliser dans le cadre de sa mission de contrôle des traitements de données.