Véritable pierre angulaire du traitement des données à caractère personnel dans votre entreprise, le registre des activités de traitement sert à la documentation de la conformité dans votre entreprise (compliance) et est nécessaire pour respecter l’ensemble des obligations liées au RGPD.

Au delà d’être une obligation prévue par le Règlement Général sur la Protection des Données (Art. 30), le registre des activités de traitement est une analyse des traitements de données à caractère personnel au sein de votre organisation, il doit refléter la réalité de la gestion des données à caractère personnel au sein de votre entreprise.

Lors de sa rédaction, il est important de contrôler les grands principes du RGPD :

  • Quel-est la licéité du traitement (fondement) ?
  • Pour quelle finalité traiter les données à caractère personnel ?
  • Les données traitées sont-elles limitées à ce qui est nécessaire ?
  • Comment les données sont maintenues à jour ?
  • Combien de temps les données sont-elles conservées ?
  • Les données traitées sont-elles considérées comme sensibles ?
  • Comment les données sont-elles protégées ?

Lorsque le registre des activités de traitement est rédigé, il est plus facile pour le responsable du traitement de mettre en œuvre les autres obligations prévues par le RGPD.  Prenons un simple exemple le responsable du traitement a l’obligation de communiquer aux personnes concernées, lorsque les données à caractère personnel n’ont pas été collectées directement auprès de celles-ci, une série d’éléments prévus à l’article 13 du RGPD telles que, entre autres, les finalités du traitement.

En pratique, pour respecter cet article 13, il est donc bien nécessaire d’avoir au préalable répertorié et analysé les traitements, et donc, avoir établi un registre des activités de traitement.  Le registre permet de piloter la conformité de votre entreprise.

Qui doit tenir un registre des activités de traitement ?

L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données à caractère personnel.

L’article 30 du RGPD, lequel prévoit en effet que :

Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Une exemption est ainsi prévue pour les entreprises et organisations de moins de 250 employés, néanmoins, la limitation aux seules sociétés / organisations qui ne réalisent que des traitements occasionnels implique que la toute grande majorité de celles-ci doivent établir un registre des activités de traitement.  En pratique, il sera toujours recommandé d’établir le registre.

Cet article du RGPD prévoit des obligations spécifiques au niveau du registre des activités de traitements lorsque l’entreprise agit en qualité de sous-traitant. Si votre organisme agit à la fois en tant que sous-traitant et responsable de traitement, il est recommandé d’établir deux registres distincts.

Faut-il rendre public le registre des activités de traitement ?

Pour répondre à cette question, il est nécessaire de faire la distinction entre les entreprises / organisations publiques et privées.

En ce qui concerne les organisations et entreprises privées, il n’y a aucune obligation à publier votre registre des activités de traitement.  Néanmoins, il s’agit d’un document qui sera prioritairement demandé par l’Autorité de Protection des Données en cas de contrôle.

Pour les entreprises et organismes publics, l’article 32 de la constitution prévoit que « Chacun a le droit de consulter chaque document administratif et de s’en faire remettre copie, sauf dans les cas et conditions fixés par la loi, le décret ou la règle visée à l’article 134. ».  Le document peut donc être mis à disposition des citoyens qui en font la demande.  Le cas échéant une communication partielle en raison de l’application de certaines exceptions, en fonction du contenu du registre, peut être envisagée.

Certaines entreprises et organisations publient, par principe de transparence, leur registre des activités de traitement.  Il s’agit d’une pratique à évaluer au cas par cas.

Sous quelle forme tenir le registre des activités de traitement ?

Le registre des activités de traitement peut être soit numérique, soit physique.  Vu l’évolutivité du registre – lequel devra être adapté pour chaque nouveau traitement, ou a chaque fois qu’un traitement est modifié – il est recommandé de privilégier une version numérique du registre.

En fonction du nombre de traitements, le responsable du traitement privilégiera soit un format simplifié (tel que par exemple publié sur le site web de l’Autorité de Protection des Données), soit sur une base logicielle adaptée.

Quand faut-il modifier le registre des activités de traitement ?

Votre registre des activités de traitement doit traduire les traitements qui sont réalisés dans votre entreprise.  Dès lors, il est nécessaire de faire évoluer votre registre des activités de traitement au fur et à mesure que les traitements évolues.

Nous recommandons de conserver un historique des traitements recensés dans votre registre.  Cela participe au principe d’ « accountability« .  Il est à noter que la Loi du 3 décembre 2017 (loi organique régit l’organisation et le fonctionnement internes de l’Autorité de protection des données) prévoit un délai de prescription de 5 ans après leur commission.

Un petit plus…

N’oubliez pas d’inscrire dans votre registre des activités de traitement, les traitements relatifs à la mise en conformité de votre entreprise avec le RGPD 😉 !

En pratique… Comment procédons-nous ?

  • Phase 1

    Comprendre

    Même si les entreprises et organisations suivent régulièrement des modèles qui ont fait leurs preuves et que nous avons déjà rencontré, il est important pour nous de comprendre le secteur d’activité de nos clients et leur manière d’y évoluer.  Au sein de la tête de l’entreprise, nous identifions les différents services et métiers pour savoir comment l’entreprise fonctionne au quotidien.

  • Phase 2

    Enumérer

    Nous rencontrons les responsables opérationnels et identifions les traitements de données à caractère personnel.  Nous veillons, pour chaque traitement, à évaluer le traitement dans son ensemble pour identifier les implications au sens large dudit traitement.  En plus des traitements humains, nous analysons les moyens électroniques de l’entreprise (site web, ERP, …) pour obtenir une vue à 360° des opérations réalisées par l’Entreprise.

  • Phase 3

    Registre simplifié

    Sur la base de l’énumération de tous les traitements réalisés au sein de l’Entreprise, nous réalisons une version simplifiée du registres des activités de traitement par fiches.  Cette version est une épreuve que nous annotons et évaluons lors de sa rédaction.  Des entretiens complémentaires sont ensuite réalisés pour augmenter la qualité du/des registre(s).

  • Phase 4

    Registre analytique

    Les entretiens réalisés par la suite de la rédaction du registre simplifié nous permettent de valider le registre des activités de traitement, mais d’en établir une version analytique qui va ensuite permettre à l’entreprise de piloter une plus grande mise en conformité avec le RGPD.  Il s’agit d’une base fonctionnelle pour guider des actions et process au sein de la société pour conforter et conformer sa politique de traitement des données à caractère personnel.

  • Phase 5

    Evoluer

    Votre entreprise n’est pas à l’arrêt et votre registre des activités de traitement doit évoluer en même temps que votre entreprise.  Au jour le jour, il est nécessaire de mettre à jour vos traitements, finalités, sous-traitants, … pour que votre registre reste un miroir des traitements des données à caractère au sein de votre organisation.  Les modifications apportées sont autant d’analyses de risques et de validité qui doivent être réalisées.

Intéressé par nos services ?

N’hésitez pas à nous communiquer vos coordonnées.  Nous reprendrons rapidement contact avec vous.