Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Chronique de la RGPD : Comment tenir un registre des traitements ?

mai 2018 par Xavier Leclerc DPMS et Fondateur et Président de l’Union des Data Protection Officer (UDPO)

Imposé par la règlementation des données personnelles qui entrera en vigueur ce 25 mai, la tenue du registre des traitements est une preuve de conformité et représente pour les entreprises, l’un des point clés à maîtriser sur cette législation.
L’obligation de tenir un registre des traitements : pour qui ?

L’article 30 du RGPD oblige les entreprises et administrations de plus de 250 employés à tenir un registre des traitements à jour, de façon rigoureuse. Néanmoins, les plus petites structures ne sont pas complètement mises à l’écart sur cette obligation, et devront, elles aussi, se conformer au RGPD sur certains points. En effet, la nouvelle réglementation prévoit également que les entreprises de moins de 250 salariés traitant des données sensibles (opinions politiques, courants religieux, orientation sexuelle…) ou effectuant des traitements sur une catégorie particulière de personnes (condamnée, enfants…) de manière occasionnelle ou non doivent également tenir un registre des traitements pour se conformer au RGPD. Par ailleurs, ce même article impose un registre aux organismes mettant en œuvre des traitements récurrents, or la gestion du personnel, la paie ou encore la gestion clients sont autant de traitements récurrents !
Les sous-traitants des données personnelles seront, eux aussi, soumis à la tenue d’un registre des traitements qu’ils opèrent ‘pour le compte de’, en plus de leur propre registre. La réglementation des données bouleverse la responsabilité du sous-traitant quant aux traitements des données : il pourra désormais être tenu co-responsable en cas d’écart à la loi, et sera même amené à être audité et sanctionné par la CNIL.

Que trouve-t-on sur un registre des traitements ?

Dans un registre des traitements, la CNIL doit pouvoir retrouver les coordonnées du responsable du traitement, les finalités du traitement (gestion client, gestion du personnel…) ainsi que les différentes catégories de personnes concernées par le traitement (salariés, patients, clients…). Doivent également figurer dans le registre les gestionnaires des données, qu’ils soient internes ou externes, les destinataires, le parcours des données (en particulier s’il y a transfert hors de l’UE), les délais de conservation des données et la description des mesures de sécurité mises en place pour limiter les risques de fuite et pour optimiser la protection des données. Le registre des traitements peut être tenu par un DPO, missionné par le Responsable de traitement.

Le modèle proposé par la CNIL

Pierre angulaire du RGPD, le registre des traitements a une importance considérable sur le chemin de la mise en conformité des entreprises. Pour permettre à chaque structure de répondre à ses exigences en matière de protection des données, la CNIL propose sur son site internet quelques précieux conseils pour tenir un registre conforme aux attentes, mais aussi un modèle de registre pour pouvoir s’en inspirer. L’idée, à travers la mise en place de ce registre, est de responsabiliser les entreprises quant aux enjeux de la protection des données personnelles.
Ce registre devra pour autant être ‘sécurisé’ et tracer les différents modifications ou ajouts et leurs auteurs, afin de pouvoir constituer une preuve recevable devant une juridiction prud’hommale par exemple.

Quelles sanctions en cas de non-respect de l’obligation à tenir un registre des traitements ?

Quelle que soit la sanction, le montant le plus élevé sera retenu. En cas de non-conformité, l’organisation pourra se voir attribuer une amende administrative pouvant atteindre les 10 millions d’euros, et pour l’entreprise, le montant de l’amende pourra s’élever jusqu’à 2% du chiffre d’affaires annuel ‘groupe’ de l’exercice comptable précédent. Dans certains cas, l’autorité de contrôle pourra demander l’exécution de plusieurs demandes en cas de non-respect de la loi : effacement des données, limitation du traitement, retrait de certification…


Voir les articles précédents

    

Voir les articles suivants