RGPD – Quels sont les registres obligatoires que vous devez mettre en place ?


Le règlement général sur la protection des données (RGPD) impose selon les cas, aux responsables de traitement ou sous-traitant, de documenter en interne leurs activités de traitement.

Le registre des activités de traitements

Le registre des activités de traitement est l’outil de référence de votre mise en conformité. Il permet de recenser l’ensemble des traitements de données personnelles effectués sous votre responsabilité.

Document central de la conformité, le registre des activités de traitement permet de déterminer si l’ensemble des obligations imposées par le RGPD ont été prises en considération et sont ou non respectées.

 

Suis-je concerné par la tenue de ce registre ?

L’article 30 du RGPD prévoit que chaque responsable du traitement doit tenir un registre des activités de traitement effectuées sous leur responsabilité. Vous êtes donc concerné par cette obligation si :

  1. Vous traitez de données personnelles ;
  2. Vous déterminez les moyens et les finalités des traitements concernés.

 

Ex. un site de e-commerce propose à le vente ses produits ou services. Pour accéder au panier d’achat présent sur le site, l’utilisateur doit créer un compte client et renseigner à ce titre son nom, prénom, adresse e-mail et mot de passe. Il s’agit ainsi d’un traitement de données personnelles et pour lequel le site détermine les moyens (création d’un espace client) et les finalités du traitement (vente de produits / services, identification de l’acheteur, prospection commerciale, etc.)

 

Quelles informations dois-je fournir ?

  • Le registre doit comprendre les informations suivantes:
  • le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • les finalités du traitement, soit le but pour lequel le traitement a été mis en place ;
  • une description des catégories de personnes concernées et des catégories de données à caractère personnel (prospects, clients, employés, etc.) ;
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées (prestataires, salariés en interne, tiers autorisés, etc.) ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris leur identification et, dans certaines hypothèses particulières, les documents attestant de l'existence de garanties appropriées ;
  • dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles (traçage des accès, sécurisation des serveurs et des sites web, gestion des habilitations, etc.)

 

Comment le remplir ?

Aucune forme particulière n’est préconisée par le RGPD, seul l’écrit est imposé. Vous avez ainsi le choix, selon le nombre et la complexité des opérations de traitement que vous réalisez, de vous aider d’un logiciel dédié, de créer un tableau Excel, ou tout simplement utiliser un format papier.

Pour faciliter vos démarches, la CNIL a publié un modèle de registre simplifié, destiné uniquement aux petites structures. Néanmoins, il est vivement recommandé de l’enrichir dans la mesure où le registre des activités de traitement se conçoit comme un véritable outil de pilotage de votre conformité.

Le registre doit être mise à jour régulièrement au gré des évolutions de vos opérations de traitement de données.

Le registre des activités du sous-traitant

Suis-je concerné par la tenue de ce registre ?

 

Selon l’article 30 du RGPD, chaque sous-traitant doit tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement. Vous êtes donc concerné par cette obligation si :

  1. Vous traitez de données personnelles ;
  2. Pour le compte du responsable de traitement.

 

Ex. Vous proposez des services de maintenance et sécurité informatique. Le suivi régulier et complet des réseaux de vos clients suppose le traitement de données personnelles par vos soins, pour leur compte. Il est très probable que vous ayez la qualité de sous-traitant et il vous incombe à ce titre de tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte de vos clients.

 

Quelles informations dois-je fournir ?

 

Le registre doit comprendre, pour chaque opération de traitement, les informations suivantes :

  • le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;
  • les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris leur identification et, dans certaines hypothèses particulières, les documents attestant de l'existence de garanties appropriées ;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1 du RGPD.

 

Comment le remplir ?

Là encore, aucune forme n’est imposée par le RGPD, seule la condition d’un écrit est édictée.

De manière générale et pour chaque registre obligatoire, nous vous recommandons néanmoins de privilégier les outils numériques afin de tenir compte des évolutions fonctionnelles et techniques de vos traitements de données.

Le registre des failles de sécurité

Suis-je concerné par la tenue de ce registre ?

 

L’article 33.5 du RGPD impose au responsable de traitement de documenter toute violation de la sécurité, peu important que celle-ci ait ou non fait l’objet d’une notification.

 

L’article 4.12 du RGPD définit la violation de données comme une violation de la sécurité qui entraine, de manière accidentelle ou illicite, l’un des évènements suivants : destruction, perte, altération, divulgation non autorisée, et accès non autorisé aux données à caractère personnel transmises, conservées et traitées par l’organisme responsable de traitement ou son sous-traitant. 

 

Une  violation de la sécurité résulte ainsi d’une faille de sécurité du système de traitement. 

 

Quelles informations dois-je fournir ?

Seules les informations pertinentes doivent être renseignées :

  • Origine et causes de l’incident (acte interne ou externe, accident, acte malveillant) ;
  • Une description détaillée des évènements à l’origine de l’incident (hacking, utilisation d’un logiciel malveillant, perte d’un équipement, etc.) ;
  • Les effets et conséquences de la faille de sécurité (perte de la confidentialité, perte de la disponibilité, perte de l’intégrité des données personnelles) ;
  • Les catégories et le nombre approximatif de personnes concernées ;
  • Le type de données concernées par la violation (données d’identification, données financières, données de géolocalisation, données de connexion, données sensibles, etc.) ;
  • Les opérations de traitement concernées (prospection commerciale, opération de recrutement, etc.) ;
  • L’identification des conséquences probables de la violation (risque d’usurpation d’identité, perte financière, perte de confiance des partenaires, etc.) ;
  • Les mesures de sécurité mises en œuvre pour mettre un terme à la violation (système de journalisation, examen période des journaux d’évènements, etc.) ;
  • S’il y a lieu de procéder ou non à la notification de la faille de sécurité à la CNIL, et dans l’affirmative, le délai dans lequel la notification est intervenue (si plus de 72 heures, précisez les raisons d’un tel retard) ;
  • S’il y a lieu de procéder ou non à la notification de la faille de sécurité aux personnes concernées.

 

 

Comment le remplir ?

Vous l’aurez compris, la documentation de la violation d’une faille de sécurité doit être réalisée en interne, sur tout support de votre choix, et s’il y a lieu, auprès de la CNIL par télédéclaration.

Afin d’identifier les situations donnant lieu aux notifications obligatoires, nous vous invitons à prendre connaissance de l’article rédigé à ce sujet.


Articles similaires