News : Journée européenne de la protection des données. Gagnez des accompagnements et des abonnements en vous inscrivant à notre quiz du 28 Janvier !

Logo Witik

Vous vous demandez à quoi ressemble le registre de la CNIL ?

Et bien ne vous posez plus la question ! Le gendarme de la donnée vient de publier un registre détaillé de ses activités de traitement. L’occasion de revenir sur qu’est-ce qu’un registre de traitement ? À quoi ça sert ? Que doit-il contenir ? C’est par souci de transparence et...

Table des matières

Partager l'article
Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Et bien ne vous posez plus la question ! Le gendarme de la donnée vient de publier un registre détaillé de ses activités de traitement. L’occasion de revenir sur qu’est-ce qu’un registre de traitement ? À quoi ça sert ? Que doit-il contenir ?

C’est par souci de transparence et de pédagogie que la CNIL vient de publier son registre de traitements. L’autorité de régulation souligne que ce document n’est pas prescriptif et qu’il va au-delà du minimum exigé par les textes. Ce qu’il contient est donné à titre indicatif et et selon votre propre activité, le registre ne présentera pas les mêmes éléments.

On peut ainsi retrouver au sein d’un document unique, l’ensemble des éléments utiles à l’information des personnes concernées par les traitements que l’autorité de contrôle met en œuvre. La CNIL précise que ces éléments sont repris pour les mentions RGPD portées au niveau des téléservices ou en interne (gestion des ressources humaines, gestion des fournitures, gestion du support informatique, etc.).

La CNIL dispose d’un outil de pilotage de ses activités de traitement. Cette publication s’inscrit également dans une démarche pédagogique à l’attention des responsables de traitement pour faciliter l’interprétation de certaines notions du RGPD en donnant des exemples concrets (par exemple sur les bases légales).

Le registre de la CNIL ici. 

Un registre des activités de traitements ça sert à quoi ?

Prévu par l’article 30 du règlement européen, le registre de traitement constitue un élément essentiel de la documentation nécessaire au pilotage et à la démonstration de la conformité d’une organisation au RGPD. Le registre doit pouvoir être mis à la disposition de l’autorité de contrôle sur simple demande. 

Que permet le registre au DPO, ou au référent de l’organisation ?

Il permet au DPO, le délégué à la protection des données, de :

 – Recenser les traitements de données personnelles mis en oeuvre sous la responsabilité de l’organisme public ou privé

 

 – Se poser les bonnes questions, avec les différents services de l’organisation, sur la finalité des fichiers mis en place, la minimisation des données recueillies, leur sensibilité, leurs conditions de conservation, leurs destinataires, et d’évaluer les risques

 

 – Rassembler les informations nécessaires à l’information des personnes identifiées dans les traitements de données de l’organisme

 

 – De définir un plan d’action « conformité RGPD » 

Que contient un registre de traitement ?

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

 

Ce registre comporte toutes les informations suivantes :

 – Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données 

 - Les finalités du traitement

 – Une description des catégories de personnes concernées et des catégories de données à caractère personnel

 – Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales

 – Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées

 – Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données

 – Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles 

Quid du sous-traitant ?

Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

Ce registre comprenant :

 – Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données

 – Les catégories de traitements effectués pour le compte de chaque responsable du traitement

 – Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts, les documents attestant de l’existence de garanties appropriées

 – Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles devra figurer dans le registre.

Ces obligations ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 du règlement européen.

Vous avez besoin d’être accompagné pour définir vos chantiers prioritaires ? Les équipes Witik sont là pour vous aider

Dominique Cozzi, Journaliste