Comment tenir un registre des traitements ?
La tenue d’un registre des traitements est l’une des obligations les plus importantes imposées par le RGPD. Le registre des traitements prouve que l’on est bien dans le respect de la loi. C’est pourquoi il doit être rédigé et tenu dans les règles de l’art. Alors, comment tenir un registre des traitements ?
L’obligation de tenir un registre des traitements, pour qui ?
Le RGPD, dans son art 30, oblige les entreprises et les administrations utilisant plus de 250 employés de tenir un registre des traitements, bien complet et toujours à jour. Malgré cela, les organismes employant moins de 250 salariés ne sont pas totalement à l’abri de cette obligation. En effet, le RGPD prévoit également que les entreprises de moins de 250 salariés traitant des données sensibles (opinions politiques, courant religieux, orientation sexuelle…) ou qui effectuent des traitements sur une catégorie particulière de personnes (condamnée, employé…) de manière occasionnelle ou non doivent également tenir un registre des traitements.
L’autre grande nouveauté apportée par le RGPD est l’obligation pour les sous-traitants des données personnelles de tenir un registre des traitements. Cela met fin à la simple responsabilité contractuelle du sous-traitant. Dorénavant, en cas d’écart à la loi, le sous-traitant est coresponsable. Surtout, la CNIL sera donc autorisée à auditer et à sanctionner directement un sous-traitant.
Que trouve-t-on sur un registre des traitements ?
Tenu par le DPO, un registre des traitements doit contenir plusieurs informations essentielles, dont les coordonnées du responsable, du traitement, les finalités du traitement (démarchage de client, gestion du personnel…), les différentes catégories de personnes concernées par le traitement (salariés, malades, clients…), les gestionnaires des données (acteurs internes ou externes), le parcours des données (surtout s’il y a transfert hors de l’UE), les délais de destruction des données et la description des mesures de sécurité pour limiter les risques fuite et pour optimiser la protection des données.
Le modèle proposé par la CNIL
Les experts s’accordent à dire que le registre des traitements constitue la pierre angulaire du RGPD. En raison de cette importance, la CNIL, à travers son site, n’a pas oublié de donner quelques bons conseils pour tenir un registre. On peut même y trouver un modèle de registre.
Il faut rappeler qu’à partir de 2018, ce sera le registre des traitements qui va prouver la conformité de l’organisation avec le RGPD. On passe du système déclaratif actuel à un système de responsabilisation où la charge de prouver la conformité avec la loi pèse sur les responsables des traitements.
Malgré tout, après une brève analogie, on peut constater que les informations à enregistrer dans le registre sont pratiquement identiques à celles demandées dans le système déclaratif. Pour se faciliter la vie, il est possible de prendre en considération les déclarations envoyées à la CNIL pour ensuite les transposer dans le registre.
Les sanctions en cas de non-respect de l’obligation de tenir un registre des traitements
Le non-respect de l’obligation de tenir un registre des traitements peut entrainer diverses sanctions. La plus importante, une amende administrative pouvant atteindre les 10 000 000 d’euros. Et pour une entreprise, une amende pouvant aller jusqu’à 2% du chiffre d’affaires annuel de l’exercice comptable précédent. Le montant le plus élevé sera celui qui sera retenu.
À part cela, l’autorité de contrôle pourra demander l’exécution de plusieurs demandes en cas de non-respect de la loi : effacement des données, limitation du traitement, retrait de certification…