Conformément à l’article 30 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, chaque responsable de traitement des données personnelles et, le cas échéant, le représentant du responsable du traitement, doit tenir un registre des activités de traitement effectuées sous leur responsabilité; ledit registre devant comporter obligatoirement certaines informations précisées dans l’article.
Le registre des activités de traitement est un document de recensement et d’analyse des traitements de données qui permet de disposer d’une vue d’ensemble de l’utilisation faites des données personnelles par l’organisation. Il permet notamment d’identifier:
- les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
- les catégories de données traitées,
- à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
- combien de temps vous les conservez,
- comment elles sont sécurisées.
Si l’analyse d’impact relative à la protection des données n’est pas forcément obligatoire en fonction des organisations, l’obligation de tenir un registre des traitements, quant à elle, concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.
Pour faciliter la tenue de ce registre par les responsables de traitement et les sous-traitants, la Commission Nationale de l’Informatique et des Libertés (CNIL) propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données qui permet de satisfaire le socle d’exigences posées par l’article 30 du RGPD. Ce modèle peut être enrichi de mentions complémentaires par l’entreprise afin d’en faire un outil plus global de pilotage de la conformité. Pour aider à la cartographie des traitements de données personnelles, la CNIL a mis en place une documentation à destination des organismes :
- Article 30 du règlement européen;
- Modèle de registre simplifié;
- Règlement européen sur la protection des données personnelles se préparer en 6 étapes.
Quelques pistes de lectures sur le sujet:
- Céline Castets-Renard, « Brève analyse du règlement général relatif à la protection des données personnelles », IP/IT, Dalloz, n°7 et 8 regroupés, juillet 2016, pp.331-335.
- Cécile De Terwangne, Karen Rosier, Bénédicte Losdyck, « Lignes de force du nouveau Règlement relatif à la protection des données à caractère personnel », Revue de droit des technologies de l’information, n°1, 2016, pp. 5-56.
- Gérard Haas, « Bilan après neuf mois d’application du RGPD », IP/IT, Dalloz, n°6, 2019, pp.357-363.