Registre des traitements de données : que dit la CNIL ?

"Le RGPD c'est de la paperasserie administrative, mais bon, on va le faire, ce registre de traitement, puisque c'est obligatoire..."

Entendue régulièrement par nos équipes de consultants, cette phrase révèle en effet deux problèmes majeurs.

Premièrement, le RGPD est ainsi assimilé au registre des traitements, ce qui est bien sûr faux. La conformité au RGPD implique de nombreuses autres obligations, liées à des documents ou à des actions quotidiennes. Cette assimilation du « registre des traitements = conformité au RGPD » est aussi fausse que l'assimilation classique « RGPD = sécurité des données ».

Ensuite, ce point de vue révèle bien à quel point le registre des traitements souffre d'être compris comme une tâche de paperasserie inutile... alors que c'est tout l’inverse ! Le registre des traitements de données constitue au contraire une tâche à la formalisation peu importante, mais qui recèle de larges bénéfices.

Tout d’abord, être conforme au RGPD signifie respecter la vie privée des personnes en assurant un niveau de maitrise satisfaisant des utilisations qui sont faites de leurs données personnelles. Et comment voulez-vous maîtriser ces utilisations si vous ne les connaissez pas ?

Il est impossible maîtriser ce qu'on ne connait pas. Établir le registre des traitements de données n'a donc pas pour but de se doter d'une documentation supplémentaire, mais cela a pour but de se poser les bonnes questions sur les traitements (i.e. les utilisations) qui sont faites des données personnelles (après les avoir recensées, évidement).

Le deuxième grand bénéfice du registre des traitements réside dans le plan d'action qu'une fiche de traitement peut contenir. En effet, dans un registre des traitements de données, les axes d'amélioration d'un traitement de données doivent y figurer, et ainsi permettre une amélioration régulière du niveau de maitrise de ces traitements.

Ces axes d'amélioration peuvent concerner la sécurité des données, bien sûr, mais également l'information faite aux personnes, la minimisation des données, la gestion de la durée de conservation de certaines données, etc., jusqu'à l'étude de l'utilité même de maintenir un traitement !

L'objectif d’établir un registre des traitements de donnée n'est donc pas la documentation en elle-même, mais l'exploitation qui en est faite. Construire ce registre est loin d'être une action stérile : la tenue et la revue régulière du registre de traitements permettent de mettre en oeuvre les bonnes actions, assurant la maîtrise des utilisations faites des données personnelles.

Mais alors, qu’est ce qu’un registre des traitements concrètement ?

La CNIL définit ce registre comme un document de recensement et d’analyse, destiné à refléter la réalité de vos traitements de données personnelles, et vous permettant d’identifier précisément :

• Les parties prenantes intervenant dans les traitements de données personnelles (les représentants, sous-traitants, co-responsables);

• Les catégories de données traitées;

• La finalité des traitements (pourquoi vous réalisez ces traitements de données) ainsi que les personnes qui accèdent aux données traitées (accès autorisé, ou partage des données);

• La durée de conservation des données traitées;

• Les mesures de sécurité techniques mises en place pour garantir la confidentialité des données.

Cette documentation de vos traitements de données vous permet ensuite de vous poser les bonnes questions : avez-vous vraiment besoin de cette donnée dans le cadre de votre traitement ? Est-il pertinent de conserver toutes ces données aussi longtemps ? Les données que vous traitez sont-elles suffisamment bien protégées ?

Qui a obligation de tenir un registre des traitements de données ?

Tout le monde ! Cette obligation concerne aussi bien les organismes privés que publics, dès lors qu’ils traitent des données personnelles, et ce quelle que soit leur taille !

Seuls les organismes de moins de 250 salariés ne sont pas totalement concernés par cette obligation. Ces dernières bénéficient d’une dérogation (ou plutôt d’un allégement) leur permettant d’inscrire dans leur registre seulement les traitements de données suivants :

• Les traitements de données réguliers (e.g. la gestion de la paie, des salariés, des fournisseurs, des prospects, etc.);

• Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées (e.g. le systèmes de géolocalisation, de vidéosurveillance);

• Ainsi que les traitements de données qui concernent des données sensibles (e.g. les données de santé, les données relatives aux condamnations pénales, etc.).

En pratique, cette dérogation est limitée à des cas très particuliers de traitements, mis en oeuvre de manière occasionnelle. Par exemple, le lancement d’une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement (sous réserve, évidement, que les traitements de données réalisés ne soulèvent aucun risque pour les personnes concernées). Les traitements de données effectués dans ce cadre là n’ont pas obligation à figurer dans le registre des traitements puisqu'ils sont occasionnels.

Et en cas de sous-traitance ?

En effet, il est parfois possible de sous-traiter certains traitements de données personnelles à un tiers extérieur. Par exemple, une entreprise qui délègue la gestion de ses salariés et de leur paie à un sous-traitant.

Dans ce cadre là, l’article 30 du RGPD prévoit des obligations bien spécifiques pour le registre des traitements du responsable de traitement et pour le registre du sous-traitant.

Ainsi, si votre organisme agit à la fois comme responsable de traitement et sous-traitant, vous êtes tenu de tenir à jour deux registres des traitements différents pour ces deux activités :

• Un registre des traitements pour les traitements de données personnelles dont vous êtes responsable;

• Et un deuxième registre des traitements pour les traitements de données personnelles que vous opérez pour le compte de vos clients.

Quelle forme doit prendre ce registre des traitements ?

Le RGPD impose que ce registre des traitements de données personnelles se présente sous une forme écrite. Cependant, aucun format précis n’est imposé, et ce dernier peut être au format numérique comme papier.

Malgré tout, il est important de veiller à choisir un format qui permette des évolutions et des mises à jour régulières de ce registre. En effet, le registre des traitements de données personnelles doit être mis à jour régulièrement, en fonction des évolutions des traitements de données. Il est donc important de veiller à choisir un format adapté et qui permette ces mises à jour.

Pour conclure

Le registre des traitements de données est donc souvent considéré comme une documentation obligatoire et plutôt contraignante car l’utilité et la pertinence de ce document restent encore trop peu connus.

La conformité au RGPD implique de respecter la vie privée des personnes à travers une maitrise et une utilisation satisfaisante de leurs données personnelles. Afin de permettre cette maitrise ainsi que cette utilisation satisfaisante des données personnelles, il est indispensable que vous les recensiez les données traitées et que vous les analysiez les traitements réalisés.

Le registre des traitements de données est donc une documentation indispensable à une véritable conformité au RGPD, il s’agit d’un élément déterminant pour votre conformité réglementaire.

Source :

• Le registre des activités de traitements, CNIL

Articles complémentaires :

• Le RGPD : objet et objectifs

• Le RGPD : qui est concerné ?

• Le RGPD et les principes relatifs au traitement de données à caractère personnel

• Licéité des traitements de données à caractère personnel : les différentes bases légales

• RGPD : Les conditions applicables au consentement et ses exceptions

• Conformité au RGPD et catégories de données à caractère personnel

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Dans le cadre de notre prestation de DPO externalisé en temps partagé, nos experts vous accompagnent dans la création et la bonne tenue de votre registre des traitements de données.

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !