- Le blog et les actualités de Witik
- Registre RGPD CNIL : Tout comprendre
Registre RGPD CNIL : Tout comprendre
Le registre des traitements est prévu par l’article 30 du RGPD et est un des piliers de la documentation à construire et à fournir.
Vous le savez, le contrôle de conformité de la CNIL est avant tout un contrôle des process et des preuves de conformité. Autrement dit, c’est à l’entreprise de fournir à l’autorité de contrôle les éléments permettant de prouver qu’elle a bien mis en place les mesures adaptées à la protection des données de ses utilisateurs.
Parmi ces preuves, le registre de la CNIL a une place très importante, que la CNIL qualifie elle-même d’”élément essentiel de la documentation”. D’où l’importance de bien comprendre le fonctionnement d’un tel registre : qui et quand doit-on le constituer ? Comment faire en cas de relation de sous-traitance dans le traitement des données ? Comment remplir facilement le registre de la CNIL ?
Qui est concerné par le registre RGPD de la CNIL ?
Principe général de tenue du registre CNIL
Tenir un registre RGPD est obligatoire pour tous les organismes, donc toutes les entreprises, et ce quelle que soit leur taille.
Plus précisément, le registre devient obligatoire dès lors que l’entreprise traite les données personnelles de ses salariés, clients ou utilisateurs. Sans revenir ici sur la définition des données personnelles et de leur traitement, notons que cette définition est très large et que la majorité des entreprises traite des données à un moment ou à un autre, que ce soit pour la gestion de la paie ou pour tenir un fichier clients à jour.
Dispositions spéciales pour les TPE et PME
Les TPE et PME, c’est-à-dire les entreprises de moins de 250 salariés, profitent de dérogations dans la tenue des registres CNIL. Ainsi, tous les traitements effectués par ces entreprises ne donnent pas lieu obligatoire à la tenue d’un registre.
En pratique, les traitements de données personnelles nécessitant de tenir un registre sont :
1) les traitements non occasionnels : il s’agit des traitements que l’entreprise opère de façon récurrente, comme ceux liés à la gestion de la paie, à la gestion du fichier clients, aux relations avec les fournisseurs…
2) les traitements pouvant générer un risque pour les droits et libertés des personnes concernées : il s’agit par exemple d’un système de vidéosurveillance ou de géolocalisation des personnes…
3) les traitements qui portent sur des données sensibles (comme les données de santé…) qui par nature nécessitent une attention particulière.
Je suis sous-traitant, dois-je tenir un registre RGPD ?
Sans revenir ici sur la définition du sous-traitant au sens du RGPD, notons que l’article 30 du RGPD qui définit l’obligation de tenir un registre CNIL prévoit des obligations spécifiques pour les sous-traitants. Autrement dit, le registre du sous-traitant diffère de celui du responsable de traitement.
Dans certains cas, il peut donc être nécessaire de construire deux registres distincts : un pour les traitements dont vous êtes responsable en propre et le second pour ceux sur lesquels vous intervenez en tant que sous-traitant, c’est-à-dire pour le compte de vos clients ou d’un tiers.
Comment remplir le registre RGPD de la CNIL ?
Remplir et tenir le registre RGPD CNIL peut vite devenir un projet long et complexe. En fonction de la nature des traitements opérés, de leur quantité et de leur fréquence, la mise à jour du registre CNIL nécessite une suite d’opérations fastidieuses et dans lesquels une erreur peut facilement se glisser.
Il est donc conseillé de s’appuyer sur un logiciel RGPD pour faciliter la tenue du registre RGPD. L’outil registre CNIL Witik s’appuie notamment sur le référentiel légal de Haas Avocats et permet de gagner en temps et en précision dans la tenue du registre.
Concrètement, l’assistant registre Witik permet de catégoriser tous les traitements par secteur ou service d’activité. Vous gagnez du temps. Ensuite, les fiches traitements sont pré-remplis et peuvent être modifiées facilement grâce à des menus déroulants qui évitent les saisies trop nombreuses. Le registre digital est créé automatiquement et peut facilement être exporté, partagé, mis à jour et consigné.
Le point positif en plus ? Chaque fiche créée reprend automatiquement les critères qui permettent d’établir la nécessité d’effectuer ou non une analyse d’impact pour le traitement concernée : celle-ci peut ensuite être générée automatiquement.