Le RGPD et le registre de traitements : pourquoi, qui, quoi, comment ?
Vous en entendez parler depuis des semaines, voire même des mois : le Règlement Général sur la Protection des Données à caractère personnel (« RGPD »). Ca y est, il est entré en vigueur le 25 mai 2018 ! Parmi les nouveautés de ce règlement européen figure l’obligation pour le responsable du traitement ou son sous-traitant de tenir un « registre des activités de traitement ».
Pourquoi tenir un registre des traitements ?
Premièrement, la tenue d’un registre remplace l’obligation de notification préalable auprès de l’autorité de contrôle (ex. APD en Belgique, CNIL en France, Autoriteit Persoonsgegevens aux Pays-Bas, AEPD en Espagne…), laquelle engendrait une charge administrative trop importante.
Selon le RGPD, la correcte tenue du registre permettra au responsable du traitement ou à son sous-traitant de démontrer – lors d’un potentiel contrôle – que ses activités de traitement sont conformes aux principes édictés par le règlement.
Dorénavant, le mot d’ordre est la responsabilisation des entités qui (sous)-traitent des données à caractère personnel. Dès lors, grâce à la bonne tenue de ce registre, celles-ci disposeront d’une vue d’ensemble des opérations de traitement, leur permettant de maîtriser et de contrôler leur conformité avec les nouvelles obligations légales.
Le registre des traitements est, par conséquent, un outil précieux de mise en conformité et généralement un bon point de départ pour entamer celle-ci.
Qui est concerné par l’obligation de tenir un registre des traitements ?
En principe, l’obligation de tenir un registre des traitements concerne tous les responsables de traitement (le cas échéant leurs représentants) et leurs sous-traitants. Néanmoins, le règlement prévoit une exemption, qui reste en pratique très limitée. Les entreprises ou organisations comptant moins de 250 employés ne sont pas contraintes de tenir ce registre, sauf dans les cas suivants :
- le traitement est non occasionnel, c’est-à-dire qu’il est habituel. Ainsi, selon les récentes recommandations de la CPVP, sont considérés comme « habituels » les traitements de données entourant la gestion de la clientèle, la gestion des fournisseurs ou encore la gestion du personnel (ressources humaines) ; ou
- le traitement est susceptible de comporter un risque pour les droits et libertés des personnes dont les données sont traitées ; ou
- le traitement porte sur des données dites « sensibles » (telles que des données médicales, relatives à l’orientation sexuelle, aux convictions religieuses, philosophiques, politiques, etc.) ; ou
- le traitement porte sur des données judiciaires (ex. condamnations pénales).
Dans la grande majorité des cas, la tenue d’un registre des traitements s’avère obligatoire. En tout état de cause, sa mise en place est vivement recommandée tant le registre s’avère utile dans le cadre de la mise en conformité et du suivi du respect des obligations légales.
Que faut-il indiquer dans le registre des traitements ?
Les informations à indiquer dans le registre varient selon que vous agissez en qualité de « responsable du traitement » ou en qualité de « sous-traitant ».
Si vous êtes « (co-)responsable du traitement », le registre doit recenser, au moins, les informations suivantes :
- votre nom et vos coordonnées ainsi que ceux du délégué à la protection des données (DPO) ;
- une description des finalités du traitement, c’est-à-dire les buts pour lesquels les données sont traitées (ex : gestion de la clientèle, gestion du personnel, etc.) ;
- une description des catégories de données traitées (par exemple, données d’identification, données financières, données de géolocalisation, etc.)
- une description des catégories de personnes dont les données sont traitées (ex : clients, visiteurs du site web, prospects, employés, prestataires, mineurs d’âge, etc.) ;
- les destinataires auxquels les données ont été ou seront communiquées (y compris les destinataires situés dans des pays tiers à l’UE) ;
- les éventuels transferts des données vers un pays tiers ainsi que la documentation attestant de l’existence de garanties appropriées entourant chaque transfert ;
- le délai de conservation pour chaque catégorie de données ;
- une description générale des mesures de sécurité techniques et organisationnelles.
Si vous êtes « sous-traitant », le registre devra comporter, au moins, les informations suivantes :
- votre nom et vos coordonnées ainsi que ceux du responsable du traitement pour le compte duquel vous agissez ainsi que, le cas échéant, les coordonnées du délégué à la protection des données (DPO) ;
- les catégories de traitement effectués pour le compte du responsable ;
- les éventuels transferts de données vers un pays tiers et les documents qui attestent de l’existence de garanties appropriées ;
- une description générale des mesures de sécurité techniques et organisationnelles.
Il s’agit des informations minimales à mentionner. Il est donc tout à fait possible d’indiquer d’autres éléments (tels que le fondement légal, le résultat de l’analyse d’impact (si nécessaire), etc.).
En pratique, comment tenir le registre ?
En l’état actuel, il n’existe aucun modèle type obligatoire. Vous êtes donc libre de choisir la forme de votre registre. Néanmoins, celui-ci doit se présenter sous la forme écrite, y compris sous une forme électronique. Il doit être clair, compréhensible et lisible. L’Autorité de Protection des Données (APD, autorité de contrôle belge) a toutefois publié un modèle de registre ainsi que quelques recommandations accessibles sur son site web.
Télécharger le modèle de registre
Que risquez-vous si vous ne tenez pas (correctement) le registre des traitements ?
Outre ses prérogatives en tant qu’autorité de contrôle (émettre un avertissement, limiter de manière temporaire ou permanente le traitement, retirer une certification, etc.), celle-ci peut vous condamner au paiement d’une amende administrative pouvant aller jusqu’à 10.000,00€ ou jusqu’à 2% du chiffre d’affaires annuel mondial.
Comment la nouvelle législation RGPD va-t-elle impacter votre marketing et vos efforts de collecte de données ?
La nouvelle législation européenne sur la protection des données entrera bientôt en application. En considérant l’impact qu’aura cette législation sur la façon dont vous gérez vos campagnes de marketing et collectez des données, vous devez vous y préparer et préparer votre société à ce changement majeur.