20 septembre 2019

LE REGISTRE DES ACTIVITÉS DE TRAITEMENT

En mai 2018 le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur dans toute l’Union Européenne. Nous vous avions écrit un article sur le sujet ici.

Le RGPD apporte un cadre au traitement des données personnelles des ressortissants de l’Union Européenne, par les organismes (privés et publics).

Afin de s’assurer que ces balises ont bien été respectées, l’article 30 du RGPD propose la mise en place du fameux « Registre des activités de traitement » dont nous allons vous parler dans cet article.

Qu’est-ce que c’est ?

Le registre des activités de traitement a pour objectif d’offrir une vue d’ensemble de ce que l’organisme fait des données personnelles qu’il détient. C’est la première étape de mise en place de la politique de rigueur exigée par le RGPD, mais c’est également pour vous un excellent outil de pilotage !

D’ailleurs la CNIL vous le dit elle-même : la mise en place de ce registre est le premier pas à enclencher dans votre démarche RGPD !

Est-ce une obligation ?

La tenue du registre des activités de traitement est une obligation pour toute entreprise, toutes tailles et activités confondues !

Il existe toutefois une relative souplesse pour les entreprises de moins de 250 salariés. Pour ces plus petites structures il existe des dérogations qui les autorisent à n’y inscrire que les traitements de données suivants :

  • Les traitements récurrents (par exemple, la gestion de la paie, ou la gestion clients)
  • Les traitements pouvant compromettre les droits et les libertés des personnes (exemple : géolocalisation)
  • Les traitements de données à caractère sensible (par exemple, des données sur la santé de la personne).

Quelles informations doivent y être consignées ?

L’article 30 du RGPD précise les informations à renseigner pour chaque traitement ajouté au registre.

  • Dans un premier temps le registre identifie les acteurs du traitement de données
    • Le responsable du traitement ou le sous-traitant
    • Le délégué à la protection des données (DPO)
    • Le représentant du responsable du traitement
  • Ensuite, les finalités du traitement
  • Il doit apporter une description des catégories de personnes concernées par le traitement de données…
  • … Et des destinataires des données, c’est-à-dire les personnes auxquelles les données en question ont été ou seront communiquées.
  • Il faut également préciser si les données sont transférées hors Union Européenne : Dans ce cas précis il faut alors identifier le pays en question, et rajouter les documents attestant de l'existence de garanties appropriées ;
  • Il convient alors d’identifier les catégories de données à caractère personnel dont il s’agit, par exemple s’il s’agit de données portant sur l’identité de la personne ou s’il s’agit de données de connexion, etc.

Enfin l’article 30 demande, dans la mesure du possible, de renseigner les délais prévus pour l'effacement des différentes catégories de données et une description générale des mesures de sécurité techniques et organisationnelles prévues.

Qui doit le tenir ?

En principe c’est le responsable de traitement qui le met à jour : cela lui permet de piloter et d’avoir une vue d’ensemble sur ses différents traitements.

Il peut également s’agir d’une personne désignée en interne spécifiquement pour la tenue du registre.

Enfin le DPO peut également prendre à sa charge la tenue du registre des activités de traitements, qui constitue également pour lui un excellent indicateur pour superviser la gestion des traitements de données personnelles en interne.

Quand le mettre à jour ?

Vous devez le mettre à jour à chaque fois que cela s’avère nécessaire, c’est-à-dire à chaque fois que vous procédez à un nouveau traitement de données personnelles.

Le registre des activités de traitements est disponible à la Papeterie Financière !

Commandez-le directement en ligne ici

Ecrit par Sybille DARCHY