L’entrée en vigueur du RGPD en mai 2018 vient imposer de nouvelles obligations aux entreprises. Parmi celles-ci, il y l’obligation de la tenue et de la mise à jour d’un registre des traitements, prévue à l’article 30 du règlement. Pourquoi cette obligation ? Comment se conçoit-elle ? Quelles mesures d’accompagnement peuvent-elles être apportées aux entreprises dans le cadre de la tenue de ce registre ?
Pourquoi tenir un registre des traitements ?
L’obligation de tenir un registre des traitements est la manifestation d’un des objectifs majeurs du RGPD : responsabiliser les entreprises. Elle vient remplacer l’ancienne règle de notification préalable auprès de la CNIL.
Document de recensement et d’analyse, le registre des activités de traitement participe à la documentation de la conformité. Il doit à ce titre refléter la réalité des traitements de données personnelles, telle que cela se pratique au sein de votre entreprise, et permettre d’identifier précisément les parties prenantes qui interviennent dans le traitement de ces données.
Ce registre permet également de rendre lisibles les catégories des données traitées, leurs utilités, leurs destinataires, leur temps de conservation et les dispositions prises pour leur sécurisation. C’est donc un document qui donne une vision d’ensemble des mesures de traitements des données personnelles recueillies par une entreprise.
Outre le fait qu’il représente la réponse apportée aux recommandations prévues par l’article 30 du RGPD, le registre des activités de traitement constitue également un outil de pilotage qui permet à une société de documenter ses traitements de données, tout en s’assurant de répondre avec perspicacité aux questions suivantes :
• Les données exploitées sont-elles parfaitement protégées ?
• Ces données sont-elles pertinentes à la réalisation de mes activités ?
• Est-il utile de les conserver si longtemps ?
La difficulté de mettre en place un registre des activités de traitement
Le registre RGPD est sans aucun doute l’une des obligations les plus contraignantes à observer. En terme de temps, il représente un travail colossal et complexe. Le principal problème lié à la mise en place de ce registre est sa cohérence, et la nécessité qu’il soit sans lacune. Car documenter de façon professionnelle l’ensemble des mesures de traitements des données personnelles d’une organisation n’est pas une tâche facile.
Dans la pratique, cela signifie faire la liste de toutes les activités de traitement des données personnelles, puis mettre par écrit une documentation appropriée pour chaque traitement. Autrement dit, indiquer de manière claire et exhaustive la réalité de tous vos rapports avec les données personnelles des personnes, ainsi que les mesures de sécurité organisationnelles et techniques mobilisées pour leur sauvegarde.
Lors de la rédaction de ce registre, les responsables à la protection des données ou à la conformité RGPD, rencontrent assez souvent des problèmes d’expertises. Plusieurs manquements à la règlementation sont fréquemment relevés au cours des ateliers sur le sujet. Cette étape de rédaction qui devrait être pour l’entreprise une occasion d’enrichir son plan d’actions de mise en conformité, expose plutôt le besoin d’une assistance professionnelle avérée.
Les principes entourant la rédaction d’un registre conforme aux exigences du RGPD
La rédaction du registre est organisée autour du respect des principes suivants :
• Un registre écrit
Le registre des activités de traitement doit être réalisé par écrit en format papier ou en format électronique.
• Une transcription claire et précise
Les informations rapportées dans le registre doivent être formelles, claires et détaillées pour l’autorité de contrôle (CNIL). Elles doivent également être lisibles et compréhensibles pour tous les acteurs en charge de la conformité au sein de l’organisation.
• Des informations à actualiser
Les renseignements contenus dans le registre doivent être exacts et refléter les actions de l’entreprise. Par ailleurs, le registre doit faire l’objet de mises à jour permanentes, en fonction des évolutions techniques et fonctionnelles en vigueur sur les traitements de données. Enfin, une revue complète et périodique du registre avec les métiers est vivement recommandée.
L’assistance professionnelle pour une rédaction efficiente du registre
Si vous avez déjà rédigé la documentation pour un traitement, alors vous savez combien cette opération est très fastidieuse. Vous apprécierez surement l’accompagnement d’un expert DPO externe pour tenir la barre des normes de conformité du RGPD. Cette expertise prend en compte la création d’une base « préconstruite » que votre délégué à la protection des données n’aura qu’à adapter en fonction des activités de l’entreprise. Cela vous évitera de passer plusieurs jours de travail à créer une documentation qui ne sera peut-être pas fiable.
En effet, il existe des outils pratiques pour vous aider à créer votre registre sans difficulté et en un temps-record. En tant qu’organisme de conseils et de formations sur le registre des traitements, nous estimons que le sujet mérite un accompagnement juridique et technique des acteurs impliqués dans sa rédaction. Un « consulting DPO » sur la méthodologie efficace, pour être plus précis. Nous proposons à cet effet, un formulaire bien élucidé, facile à renseigner et qui a l’avantage d’être totalement accessible aux collaborateurs concernés.
Le modèle de ce registre permet à l’utilisateur d’avoir une vue d’ensemble sur les informations qui ont une importance dans l’application du RGPD. Ce modèle ne se limite pas seulement à ce que l’autorité requiert. Mais il est composé de sorte que les informations qui doivent strictement apparaître dans le registre, soient clairement indiquées. L’objectif est de pouvoir établir un historique évolutif des aspects importants des traitements que l’organisation a opérés sur plusieurs exercices.
Les bonnes pratiques que nous préconisons
En enrichissant votre registre avec des informations additionnelles, vous pouvez faire du document un outil efficace de pilotage des conformités RGPD. Mieux, vous disposerez dans une même documentation, des informations relatives aux activités de traitement des données exigées par le RGPD, et l’expertise mise en œuvre pour concevoir un outil intuitif sur les règles de protection des données.
En effet pour atteindre vos objectifs professionnels, votre vision du registre des activités de traitement des données ne doit pas se limiter à une obligation à respecter. Ce document pourra aussi être exploité par le délégué à la protection des données pour accomplir ses missions, et être consulté par tout collaborateur de l’entreprise impliqué dans le traitement des données.
En ajoutant par exemple à votre registre un répertoire pour informer les personnes (droits qui s’appliquent au traitement, fondement juridique sur les transferts de données, base légale du traitement, origine des données, etc.), vous pourrez utiliser votre registre pour réaliser vos mentions d’informations.
Vous pourrez également consigner dans votre registre l’historique des manquements aux droits qui s’appliquent au traitement des données, et recenser l’ensemble des documents liés aux sous-traitants auxquels vous faites recours.
