- Le blog et les actualités de Witik
- Registre des traitements et RGPD : que contient-il ?
Registre des traitements et RGPD : que contient-il ?
Le registre des traitements prévu à l’article 30 du RGPD impose, en dehors de certains cas spécifiques, de tenir un registre pour rendre compte des opérations de traitement opérées par l’entreprise.
Celui-ci a pour fonction de permettre au DPO responsable du RGPD dans l’entreprise de recenser et d’analyser les traitements de données personnelles effectués. Concrètement, il permet d’identifier les parties prenantes à l’opération, les catégories de données traitées, les finalités et le process de leur utilisation, mais aussi leur durée de conservation et les mesures de sécurisation de cette conservation.
Autrement dit, le registre des traitements est un outil fondamental de la gestion de la conformité RGPD et de sa documentation à l’intention de la CNIL. C’est le DPO qui est en charge de sa tenue.
Pour vous aider à mener à bien cette mission, tour d’horizon des informations contenues par le registre des traitements selon les différents cas de figure.
Que contient le registre des traitements selon le RGPD ?
C’est l’article 30 du RGPD qui détaille le contenu du registre des traitements de données. A noter d’emblée que deux cas de figures peuvent se présenter. Nous verrons plus loin le cas dans lequel vous êtes sous-traitant dans l’opération de traitement, c’est-à-dire lorsque vous traitez la donnée pour le compte d’un tiers (votre client, la plupart du temps).
L’autre possibilité est que vous soyez responsable de traitement. Dans ce cas, le registre doit d’abord rappeler des informations d’identification de votre organisme (nom et coordonnées) mais aussi de la personne en charge du RGPD (DPO ou autre).
Ensuite et surtout, le registre des traitements doit comporter pour chaque activité de traitement un certain nombre d’informations.
D’abord : si nécessaire, le nom et les coordonnées du responsable conjoint du traitement (s’il existe) ;
Ensuite, les finalités du traitement, c’est-à-dire l’objectif poursuivi par l’opération (gestion de la paie, sauvegarde des préférences de navigation des utilisateurs, etc) ;
Les catégories de personnes concernées par le traitement des données. En d’autres termes, il faut préciser s’il s’agit de clients, de prospects, de salariés, etc… ;
De même, les catégories de données personnelles doivent être spécifiées (identité, données de connexion, données de localisation, informations bancaires etc) ;
Si les données sont transférées à un tiers, il faut préciser les catégories de destinataires de ces jeux de données (il s’agit notamment de vos sous-traitants éventuels) ;
Si le cas survient, il convient de préciser les transferts des données vers un pays tiers ou à l’international, avec dans certains cas des informations de garantie spécifiques ;
Dans tous les cas, les délais prévus pour l’effacement des données doivent être spécifiées et doivent parfois être différenciées (certaines informations devant être conservées pendant une certaine durée comme les contrats) ;
Enfin, les mesures de sécurité prises pour protéger les données doivent être décrites (sans entrer dans des détails trop importants).
Pour rappel, ces informations sont à inclure dans le registre RGPD dans le cas où vous êtes vous-même responsable du traitement. Lorsque vous opérez le traitement pour le compte d’un tiers, d’autres informations doivent être consignées, que l’on va voir maintenant.
Un registre des traitements spécifique pour les sous-traitants
Le registre pour le sous-traitant diffère de celui qu’on vient de détailler. Pour commencer cependant, vous devez également préciser les nom et coordonnées de votre entreprise ainsi que l’identité de votre DPO si vous en avez nommé un.
Ensuite, vous devez établir une fiche distincte pour chaque activité de traitement effectuée pour le compte de vos clients.
Chaque fiche doit regrouper un certain nombre d’informations.
D’abord, le nom et les coordonnées de votre responsable de traitement pour chaque opération et le nom de leur représentant légal.
Ensuite, les mêmes informations pour les sous-traitants auxquels vous pouvez éventuellement vous-même faire appel dans le cadre de cette même activité de traitement.
Par ailleurs, les catégories de traitements, c’est-à-dire les opérations de traitement effectuées pour le compte de votre client. Autrement dit, il faut préciser si vous collectez les adresses emails des personnes, gérez des désabonnements, centralisez des informations de connexion, etc.
De la même manière que dans le registre du responsable de traitement, vous devez préciser si des transferts de données ont lieu vers un pays tiers et, si nécessaire, apporter la preuve des garanties nécessaires à de tels transferts.
Enfin, la fiche de traitement doit comporter une description des efforts apportés à la sécurité des données personnelles collectées, notamment dans le domaine de la cybersécurité.
A noter que votre organisation peut être à la fois responsable de traitement et sous-traitant au sens du RGPD, selon les cas. Dans cette situation, il convient de tenir deux registres de traitements séparés, chacun reprenant les informations nécessaires.