Le registre des traitements de données personnelles – RGPD & CNIL

Qu’est-ce que le registre des traitements RGPD ? [Définition]

Le registre des traitements est un document obligatoire pour les entreprises depuis l’entrée en vigueur du RGPD. Le règlement utilise le terme de « registre des activités de traitement ». On parle aussi parfois de « registre RGPD ».

Il s’agit d’un document destiné à recenser l’ensemble des traitements de données personnelles réalisés par l’entreprise. Nous verrons dans un instant quelle forme il prend concrètement.

Article 30 du RGPD : « Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. »

Comme le journal des traitements, le registre des traitements sert à documenter la conformité RGPD. En cas de contrôle de la CNIL ou en cas de litige devant un tribunal, le registre des traitements permet à l’entreprise de prouver sa conformité au règlement européen.

En tant qu’entreprise donc, vous devez tenir un registre des traitements pour deux raisons :

• Parce qu’il s’agit d’une obligation légale (article 30 du RGPD).
• Parce que ce registre constitue une preuve de votre conformité au RGPD.

Chacune de ces raisons est suffisante en elle-même. Si votre entreprise n’a toujours pas mis en place de registre des traitements ou qu’elle souhaite le faire évoluer, nous vous recommandons de faire appel à un Data Protection Officer ou à un avocat expert en Droit de l’Internet et des Données Personnelles.

Le registre des traitements contient toutes les informations utiles concernant les traitements de données : l’identité des responsables des traitements, les types de données personnelles traitées, la finalité des données, les règles d’accès aux données (qui peut y accéder ? A qui sont-elles communiquées ?), le temps de conservation des données, les mesures et process de sécurisation…

Au-delà de son rôle de preuve, le registre des traitements permet à l’entreprise d’avoir une vision globale sur sa gouvernance des données personnelles, de s’assurer que les données sont bien sécurisées, que la durée de conservation des données est cohérente, que les données conservées sont vraiment utiles à l’entreprise, que leur maintien dans le système d’information client se justifie…

Quelles sont les entreprises concernées ? Le registre des traitements est-il obligatoire pour toutes les entreprises ?

Ces questions reviennent souvent de la part des entreprises qui entrent en contact avec nos experts du droit. La règle est très simple : Toutes les entreprises qui traitent de façon régulière des données personnelles (que ce soit sur leurs clients, leurs salariés, leurs prospects, leurs fournisseurs, etc.) ont l’obligation de concevoir et de tenir à jour un registre des traitements. Cela concerne l’immense majorité des entreprises.

Il faut néanmoins faire une différence suivant que votre entreprise a plus de 250 salariés ou moins de 250 salariés :

• Si votre entreprise a plus de 250 salariés, elle est entièrement concernée par l’obligation d’avoir un registre des traitements.
• Si votre entreprise a moins de 250 salariés, vous n’avez l’obligation d’avoir un registre des traitements que si vous réalisez des traitements sur des données « sensibles » (données médicales, données judiciaires, données portant sur des mineurs…) ou risquées pour les droits et libertés.

Que contient le registre des traitements ?

L’article 40 du RGPD liste de manière non exhaustive les informations à intégrer dans le registre des traitements. Il distingue pour cela :

• Le registre du responsable des traitements.
• Le registre du sous-traitant. Un sous-traitant est une personne qui opère des traitements pour le compte d’un autre organisme.

Il arrive qu’une entreprise agisse à la fois en tant que responsable des traitements et en tant que sous-traitant. Dans ce cas, il faut distinguer clairement les deux activités. La CNIL recommande même de tenir deux registres indépendants.

Concentrons-nous ici sur le registre du responsable des traitements. Ce registre, comme nous l’avons dit plus haut, doit recenser l’ensemble des traitements réalisés par votre entreprise. Il doit obligatoirement être établi sous forme écrite, en version papier ou électronique.

Il n’existe en revanche aucun formalisme exigé dans la manière de présenter les informations. L’entreprise peut choisir le format qu’elle souhaite. La CNIL propose d’ailleurs un modèle de registre des traitements au format tableur (.ods) pour vous aider à concevoir celui de votre entreprise.

Voici une liste non exhaustive des informations à faire figurer dans un registre des traitements, pour chaque traitement :

• Le nom et les coordonnées de la personne responsable du traitement.
• Les finalités du traitement : En vue de quoi ce traitement est-il opéré ?
• Les catégories de personnes concernées : clients, utilisateurs, prospects, salariés, fournisseurs…
• Les catégories de données personnelles traitées : données d’identité, données économiques, données bancaires, données de localisation…
• Les catégories de destinataires, c’est-à-dire les catégories de personnes auxquelles les données sont communiquées (y compris les sous-traitants) dans le cadre du traitement en question.
• Les délais de conservation des données, aussi appelé délai d’effacement.
• Une description des mesures organisationnelles (process) et des solutions techniques mises en place pour sécuriser les données personnelles traitées.
• Les mesures prises en cas de transfert des données hors Union européenne.