Le registre des activités de traitement: qu'est-ce que c'est ?
Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles.
Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.
Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :
les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
les catégories de données traitées,
à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
combien de temps vous les conservez,
comment elles sont sécurisées.
Au-delà de la réponse à l’obligation prévue par l’article 30 du RGPD, le registre est un outil de pilotage et de démonstration de votre conformité au RGPD. Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.
Sa création et sa mise à jour sont ainsi l’occasion d’identifier et de hiérarchiser les risques au regard du RGPD. Cette étape essentielle vous permettra d’en déduire un plan d’action de mise en conformité de vos traitements aux règles de protection des données.
Source: la CNIL
Le registre des activités de traitement: qui est concerné ?
L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.
Que contient le registre ?
L’article 30 du RGPD prévoit des obligations spécifiques pour le registre du responsable de traitement de données personnelles et pour le registre du sous-traitant. Si votre organisme agit à la fois en tant que sous-traitant et responsable de traitement, votre registre doit donc clairement distinguer les deux catégories d’activités.
Le registre des traitements : un outil de pilotage indispensable pour la conformité RGPD
Le registre des traitements est un outil de traitement de pilotage indispensable qui permet de recenser et d’analyser formellement l’ensemble des traitements de données personnelles réalisés par une entreprise en présentant de manière synthétique les caractéristiques de ces dons, il permettra aux autorités de contrôle d’identifier les principales activités de l’entreprises qui demandent d’avoir recours à des traitements de données personnelles.
Il doit permettre d’identifier de façon précise :
- Les différents parties présentent dans le traitement des données : comme par exemple les représentants, les sous-traitants ou encore les co-responsables.
- Les différentes catégories de données traitées ;
- L’utilité des données collectées, la façon dont elles seront utilisées et qui pourra y accéder;
- Les traitements subies par chaque catégorie de données
- La durée de conservation de ces données ;
- Comment les données sont protégées
Tenir un registre de traitement constitue une obligation et un réel outil de démonstration de conformité à la RGPD. Il permettra aux sociétés de documenter les traitements des données, tout en répondant aux questions essentielles, à savoir :
- Les données sont-elles assez sécurisées ?
- Ai-je vraiment besoin de ces données pour exercer mon activités ?
- Est-il pertinent de conserver aussi longtemps ces données ?
Tenir un registre de traitement de données permettra ainsi à toutes les structures concernées par le RGPD d’identifier, mais aussi de hiérarchiser, les risques encourus au regard de cette loi.
Créer un registre, régulièrement mis à jour, va vous permettre d’échafauder un plan d’action pour votre mise en conformité à la RGPD. Tenir un traitement des données est obligatoire pour toutes les structures, traitant les données personnelles de citoyens européens, publics comme privés, enregistrant plus de 250 salariés, mais aussi pour toutes les entreprises comptant moins de 250 salariés, lorsque le ou les traitements effectués comportent un risque au regard des droits des personnes concernées, ou s’il n’est pas occasionnel, ou encore s’il concerne des données dites « sensibles ».
Si votre structure opère à la fois en tant que sous-traitant et responsable de traitement, votre registre de traitements doit donc clairement mentionner les deux catégories d’activités. La CNIL vous recommandera alors de tenir 2 registre. L’ un sera dédié aux traitements de données personnelles et l’autre sera dédié aux traitements que vous opérez, en tant que sous-traitant pour vos clients. Le registre des traitements de mise en conformité RGPD doit âtre composé d’une fiche pour chaque catégorie de traitements ( Gestion de la paie, gestion des fichiers clients et démarchage commercial, déclarations sociales obligatoires, établissement de statistiques de vente), chaque fiche doit également comporter une série d’informations obligatoires et fixées par le RGPD.
Si une entreprise est sensée mettre en place un Registre et qu’elle ne le fait pas, elle risque d’être sanctionnée par la CNIL. L’amende encourue pourra s’élever jusqu’à 10 000 000 € ou dans le cas d’une entreprise jusqu’à 2 à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. Le montant le plus élevé des deux sera retenu.
La conformité RGPD va bien plus loin cependant
A notez que si le registre de traitement est un élément essentiel voir un pilier dans la mise en conformité RGPD, il n’est pas suffisant pour atteindre et maintenir la conformité. Alors pour ne pas risquer ces lourdes amendes qui pourront pénaliser de manière durable votre entreprise, faites vous accompagner dans ce processus de mise en conformité.
Vous avez débutez votre démarche de mise en conformité avec le RGPD et vous souhaitez un accompagnement de notre cabinet de conseils à Paris, prenez rendez vous pour bénéficier d’un suivi dans l’élaboration de votre registre des traitements. Quel que soit votre niveau d’avancement, Inovency vous accompagne dans la structuration et la mise en oeuvre de vos actions de mise en conformité jusqu’à la validation par la CNIL.