Vous vous demandez à quoi ressemble le registre de la CNIL ?

10 décembre 2019

Et bien ne vous posez plus la question ! Le gendarme de la donnée vient de publier un registre détaillé de ses activités de traitement. L’occasion de revenir sur qu’est-ce qu’un registre de traitement ? À quoi ça sert ? Que doit-il contenir ?
 
C’est par souci de transparence et de pédagogie que la CNIL vient de publier son registre de traitements. L’autorité de régulation souligne que ce document n’est pas prescriptif et qu’il va au-delà du minimum exigé par les textes. Ce qu’il contient est donné à titre indicatif et et selon votre propre activité, le registre ne présentera pas les mêmes éléments.

On peut ainsi retrouver au sein d’un document unique, l’ensemble des éléments utiles à l’information des personnes concernées par les traitements que l’autorité de contrôle met en œuvre. La CNIL précise que ces éléments sont repris pour les mentions RGPD portées au niveau des téléservices ou en interne (gestion des ressources humaines, gestion des fournitures, gestion du support informatique, etc.).

La CNIL dispose d’un outil de pilotage de ses activités de traitement.
Cette publication s’inscrit également dans une démarche pédagogique à l’attention des responsables de traitement pour faciliter l’interprétation de certaines notions du RGPD en donnant des exemples concrets (par exemple sur les bases légales).
 
Le registre de la CNIL
 

Un registre des activités de traitements ça sert à quoi ?

Prévu par l’article 30 du règlement européen, le registre de traitement constitue un élément essentiel de la documentation nécessaire au pilotage et à la démonstration de la conformité d’une organisation au RGPD. Le registre doit pouvoir être mis à la disposition de l’autorité de contrôle sur simple demande.
 

Que permet le registre au DPO, ou au référent de l’organisation ?

Il permet au DPO, le délégué à la protection des données, de :

Recenser les traitements de données personnelles mis en oeuvre sous la responsabilité de l’organisme public ou privé

Se poser les bonnes questions, avec les différents services de l’organisation, sur la finalité des fichiers mis en place, la minimisation des données recueillies, leur sensibilité, leurs conditions de conservation, leurs destinataires, et d’évaluer les risques

Rassembler les informations nécessaires à l’information des personnes identifiées dans les traitements de données de l’organisme

De définir un plan d’action « conformité RGPD »
 

Que contient un registre de traitement ?

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

Ce registre comporte toutes les informations suivantes :

Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données
 

Les finalités du traitement

Une description des catégories de personnes concernées et des catégories de données à caractère personnel

Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales

Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées

Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données

Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles
 

Le cas du sous-traitant

Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

Ce registre comprenant :

Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données

Les catégories de traitements effectués pour le compte de chaque responsable du traitement

Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts, les documents attestant de l’existence de garanties appropriées

Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles devra figurer dans le registre.

Ces obligations ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 du règlement européen.
 
Vous avez besoin d’être accompagné pour définir vos chantiers prioritaires ? Les équipes de GPPR Rating sont là pour vous aider

Dominique Cozzi, Journaliste