Toutes les entreprises qui manipulent des données à caractère personnel des ressortissants européens doivent désormais démontrer leur conformité avec le RGPD ou Règlement Général sur la Protection des Données. L’une des principes les plus importantes de ce règlement européen est sans doute l’accountability qui impose la tenue d’un registre des traitements. Il faut noter que cette pratique n’est pas nouvelle, car du temps de la Loi Informatique et Libertés, un registre des activités devait être tenu par le correspondant Informatique et Libertés.
Contexte de tenue et avantages d’un registre RGPD
Si l’obligation de tenir un registre se limitait au correspondant auparavant, le RGPD l’étend désormais jusqu’aux sous-traitants. L’obligation se généralise donc, ce qui constitue l’une des applications essentielles du principe d’accountability. A titre d’information, ce principe consiste en la prise des mesures nécessaires pour assurer la sécurité des données, et donc par conséquent à être conforme au règlement.
Cette généralisation va d’un côté, rendre le contrôle plus facile pour le CNIL mais cela permettra aussi au responsable du traitement et au sous-traitant de suivre et d’appliquer plus facilement les obligations du RGPD de l’autre. De plus, une vue d’ensemble permet de mieux appréhender les activités de traitements de données personnelles. Ainsi, il sera plus facile de voir les écarts de conformité : gestion des données, finalités, catégories des données…
Enfin, tenir un registre sera profitable aux personnes concernées car cela équivaut à une meilleure protection de leurs données sensibles. En effet, le registre RGPD leur garantit que leurs droits et libertés fondamentaux sont respectés.
Qui sont concernés ?
Toutes les entreprises qui opèrent des traitements de données à caractère personnel et qui emploient plus de 250 salariés sont concernées par ce règlement. Cela dit, même celles qui emploient moins de 250 personnes sont en cause dès lors qu’elles traitent des données sensibles de personnes physiques ou si leurs activités de traitement en question présentent des risques sur les droits des personnes. D’ailleurs, si la nomination d’un délégué à la protection des données ou DPO est exempté, la tenue d’un registre RGPD demeure une obligation. Plus d’informations sur ce site.
Que doit contenir le registre des traitements ?
Le contenu d’un registre n’est pas défini par le RGPD. Toutefois, il doit au moins contenir les éléments suivants :
- Le nom du responsable de traitement ou du DPO le cas échéant
- Les différents types de données traitées et leurs finalités
- Les destinataires de ces données
- Les personnes en cause
- Les délais de destruction ou d’effacement
- Les mesures et actions entreprises pour assurer la protection des données à caractère personnel
- Les mesures de sécurité additives en cas de transferts de données à l’international
Comment tenir un registre ?
Il est important de comprendre que la seule tenue d’un registre ne permet pas d’assurer une mise en conformité avec le RGPD. Il faut par exemple faire une analyse d’impact ou bien mettre en place des procédures pour assurer la protection des données. S’assurer de la conformité des éditeurs de logiciels RGPD doit aussi être une priorité. Quoi qu’il en soit, pour que le registre puisse permettre d’atteindre les objectifs, ces quelques conseils vous aideront :
- Désigner une personne qui sera en charge de la tenue en lui mettant à disposition les moyens nécessaires.
- Faire une cartographie des traitements pour avoir un bilan de la situation de l’entreprise vis-à-vis du RGPD
- Mettre en place un système de suivi régulier et systématique pour s’assurer que la conformité est toujours assurée au fil du temps
- Informer et sensibiliser les salariés sur le RGPD, notamment ceux dont l’activité pourrait avoir un impact sur le respect du règlement.
