L’enjeu du registre des traitements

Le registre des activités de traitements n’est pas une nouveauté du RGPD. Celui-ci existait déjà au temps de la loi informatique et liberté, notamment pour conserver les traitements exonérés de déclaration auprès de la CNIL.

Ce registre était tenu par le correspondant informatique et libertés. Il se basait sur les informations communiquées par le responsable du traitement pour tenir son registre.

Avec l’arrivée du RGPD, les responsables du traitement et les sous-traitants seront dans l’obligation de tenir un registre des traitements. Les sous-traitants n’étaient pas soumis à cette obligation avant ce nouveau règlement. Cette obligation est une application concrète du principe “d’accountability”, reposant sur des mesures internes nécessaires pour l’optimisation de la protection des données en facilitant la présentation de la preuve en cas de contrôle ou de litige.

Quel est le but de cette obligation ? De permettre à la CNIL des contrôles facilités, mais aussi d’accompagner les responsables et sous-traitants dans l’application du RGPD avec une vision plus éclairée des traitements effectués dans leur société. Plus un registre sera bien tenu, plus il sera simple d’avoir une vue d’ensemble des traitements, permettant une gestion facilité pour identifier d’éventuels écarts à la loi : catégories des données, destination des données, finalités, caractères…

Vous voulez tout savoir sur le RGPD ?

Le registre des traitements en pratique

Concrètement, quelles entreprises sont-concernées par cette obligation ? Il s’agit de toute entreprise ou administration qui emploie plus de 250 personnes. Cependant, celles employant moins de 250 personnes n’en sont pas totalement exonérées.

Dans le cas où une entreprise de 40 personnes effectuent des traitements portant sur des données sensibles (informations relatives à des condamnations ou infractions) ou sur des données susceptibles de présenter un grand risque pour les droits et libertés individuelles, elle doit, elle aussi, tenir un registre des traitements. A noter que l’absence de désignation d’un délégué à la protection des données (DPO) ne dispense pas de cette obligation.

Le registre peut-il être communiqué à un tiers ?

Pour le moment, la loi n’est pas précise à ce sujet. Le registre doit être présenté à la CNIL quand elle en fait la demande. Mais rien n’interdit, pour l’instant, la communication d’un registre à un tiers.

Le contenu d’un registre des traitements

L’article 30 du RGPD ne dresse pas une liste précise des informations qui devraient figurer sur le registre des traitements. Mais le règlement indique qu’au minimum, le registre doit contenir les informations suivantes :

• Le nom du responsable du traitement ou de son représentant, le cas échéant, le nom du DPO ;
• Les finalités du traitement
• Les différentes catégories de données traitées
• Les personnes concernées par le traitement
• Les destinataires des données
• Les délais prévus de destruction des données
• La description des mesures de sécurité à mettre en place pour protéger les données
• Les garanties de sécurité supplémentaires pour les cas de transfert de données à l’international

Questions à se poser

• Mon entreprise a-t-elle l’obligation de tenir un registre des traitements ?
• Quel type de données mon entreprise traite-t-elle ?

Sources utile

l’article 30 du RGPD relatif au “Registre des activités de traitement”