Fiche thématique
20 min de lecture
1 janvier 2023

Pour être conforme au RGPD, l’organisme (entreprise ou administration) doit faire l’inventaire des traitements des données à caractère personnel qu’il exploite. Cet inventaire se matérialise sous la forme d’un registre.

En effet, le responsable du traitement, et, le cas échéant, son représentant, doit tenir un registre des activités de traitement, placé sous sa responsabilité (RGPD, art. 30, § 1). Il en va de même pour le sous-traitant, et, le cas échéant, son représentant (RGPD, art. 30, § 2). En pratique, le DPO crée l’inventaire et tient le registre des activités de traitement, en fonction des informations fournies par les différents services de l’organisme, en charge du traitement des données personnelles. L’absence de registre est passible d’une sanction pouvant s’élever jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise (RGPD, art. 83, § 4).

Sommaire

Importance du registre des activités de traitement

Respect du principe d’accountability

Cet inventaire s’inscrit dans la logique du principe d’accountability (RGPD, art. 24 ) qui vient remplacer les obligations de déclarations préalables à la CNIL. Ce principe oblige les entreprises à mettre en place des mécanismes permettant de démontrer le respect des règles relatives à la protection des données. L’idée consiste à garder une trace documentaire de l’ensemble des traitements effectués et à pouvoir démontrer en cas de contrôle que des mesures appropriées ont été prises afin de garantir le respect des dispositions relatives à la protection des données à caractère personnel.

Avoir un registre complet et exact

Un registre complet s’entend d’un registre contenant l’ensemble des traitements réalisés par un organisme. Il peut s’agir de la collecte, de l’hébergement, ou encore du simple transfert de données à caractère personnel (RGPD, art. 4, § 2).

La tenue du registre implique également son exactitude. Il convient pour l’organisme de tracer les éventuelles modifications d’un traitement, telles que le changement de prestataire, tout élément relatif à des transferts, de nouveaux accès, une durée de conservation, etc.

La liste des mécanismes possibles ci-dessous ne se prétend pas exhaustive :

  • la remontée d’informations par les relais locaux : lorsqu’une entité dispose de filiales dans d’autres pays, ou de plusieurs établissements sur un seul territoire, il est nécessaire de procéder à une communication, à une remontée des informations, afin que les traitements consignés dans le registre soient les plus exacts possible ;
  • la conduite d’audits réguliers pour s’assurer de l’exactitude du recensement des traitements mis en œuvre. L’inventaire des traitements peut en effet s’avérer obsolète assez rapidement, selon le nombre de traitements mis en œuvre par l’entité. A ce titre, il est important de procéder à des audits pour vérifier que certaines opérations n’aient pas été omises dans le recensement réalisé au fur et à mesure. Ces audits constituent d’ailleurs l’une des missions du DPO ;
  • la vérification de l’exactitude des données contenues dans le registre. Il convient d’être attentif aux demandes de rectifications faites par les personnes concernées afin que les données soient exactes et pertinentes. Cette exigence suppose une action positive de la personne qui doit contacter le responsable du traitement afin de faire rectifier ses données quand une situation se modifie (par exemple, un déménagement, un changement de nom…). En outre, en facilitant le droit d’accès, le responsable du traitement permet aux personnes concernées de bénéficier d’une meilleure visibilité sur leurs données, et donc de repérer d’éventuelles erreurs faites lors de la saisie des données, puis d’en demander la correction ;
  • la mise en place d’un horodatage pour les mises à jour du registre des traitements. Le but est de certifier la date et l’heure d’un événement, moyen de preuve de la mise à jour régulière du registre. Une fonction d’horodatage permet en effet d’attester qu’une donnée sous forme électronique existe à un instant donné (contremarque de temps).

Les entreprises concernées par le registre

L’entreprise compte plus de 250 salariés

Dès lors que l’entreprise compte plus de 250 salariés, le registre des traitements constitue un prérequis (RGPD, art. 30, § 5). Il est l’un des documents essentiels permettant au responsable du traitement (et au sous-traitant) de prouver le respect des obligations imposées par le règlement. Le responsable du traitement et le sous-traitant sont également tenus de coopérer avec l’autorité de contrôle et de mettre le registre à disposition de celle-ci, sur demande (RGPD, art. 30, § 4 et considérant 82).

Remarque

Il est intéressant de noter que le RGPD fait état d’« organisation » et non d’« entité juridique ». Cela signifie que le nombre de salariés à prendre en compte ne s’analyse pas seulement au regard de l’entité juridique, mais au regard de l’ensemble de l’organisation commerciale (GIE, etc.).

L’entreprise compte moins de 250 salariés

Si l’entreprise compte moins de 250 salariés, elle peut toutefois être concernée par la mise en place du registre des activités de traitement, et ce, dans trois cas (RGPD, art. 30, § 5) :

  • lorsque le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées ;
  • lorsque le traitement n’est pas occasionnel ;
  • ou lorsqu’il concerne des catégories particulières de données ou relatives à des condamnations pénales ou à des infractions.

Traitement susceptible de présenter un risque pour les droits et libertés des personnes

Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel, susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 75), en particulier dans les cas suivants :

  • lorsque le traitement peut donner lieu à une discrimination, un vol ou une usurpation d’identité, une perte financière, une atteinte à la réputation, une perte de confidentialité de données protégées par le secret professionnel, un renversement non autorisé du processus de pseudonymisation ou tout autre dommage économique ou social important ;
  • lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ;
  • lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, concernant la santé, celles concernant la vie sexuelle ou relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes ;
  • lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels ;
  • lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants ;
  • ou, enfin, lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Traitement « non occasionnel »

Sur ce point, il convient de s’interroger sur les termes employés par le RGPD. Une récurrence annuelle peut-elle par exemple être qualifiée d'« occasionnelle » ? En cas d’incertitude, si l’organisme choisit de ne pas créer un registre, il est vivement recommandé de justifier et documenter cette décision.

Remarque

En septembre 2021, une société a été a condamnée par la CNIL à une amende administrative de 3 000 euros, notamment pour des manquements à l’obligation de mettre en œuvre un registre des activités de traitement. La formation restreinte a relevé que « si la société compte un unique salarié en la personne de son président, […], le traitement mis en œuvre par la société n’est toutefois pas occasionnel puisqu’il constitue le cœur de son activité. La société aurait dès lors dû mettre en œuvre un registre de ses activités de traitement » ( CNIL, délib., 15 sept. 2021, SAN-2021-014 ).

Point de vue de l’AFCDP

Un traitement n’est pas occasionnel, lorsqu’il est habituel. Il peut s’agir à titre d’exemple des traitements liés à la gestion du personnel (Working Party 29 Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30 (5) GDPR). La réponse n’est toutefois pas toujours évidente. Dans ce contexte, la seule présence de traitements de ce type (gestion mensuelle des rémunérations par exemple) rend la tenue du registre obligatoire dans la plupart des entreprises, quelle que soit leur taille.

Traitement des données sensibles ou relatives à des condamnations pénales et à des infractions

Le traitement des « données sensibles » fait l’objet d’une interdiction de principe mais peut, dans des cas limitativement énumérés, faire l’objet d’un traitement (RGPD, art. 9, § 2).

Le traitement des données relatives à des condamnations pénales et à des infractions visé à l’article 10 du RGPD sera, en pratique, relativement rare, dans la mesure où il ne peut être envisagé que s’il est effectué sous le contrôle de l’autorité publique ou autorisé par le droit de l’Union ou d’un État membre prévoyant des garanties appropriées pour les droits et libertés des personnes concernées.

En conséquence, bien qu’il soit possible de déroger dans des cas bien spécifiques à l’obligation de maintien d’un registre, l’inventaire des traitements représente souvent un véritable passage obligatoire. En effet, comment justifier du fait que l’organisme ne traite aucune donnée sensible s’il n’est pas en mesure de lister de façon précise les traitements effectués ? Quel que soit le cas de figure dans lequel se trouve l’organisme, il est donc vivement recommandé d’établir un inventaire des traitements.

Les micro-entreprises, TPE et PME bénéficient d’une dérogation de tenue du registre

Le RGPD s’applique à ces entreprises, mais elles sont exemptées de l’obligation de tenue du registre des activités de traitement dans les cas cités précédemment. Toutefois, le RGPD invite les États membres et les autorités de contrôle à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises pour l’application du règlement ( Règl. no (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, considérant 13).

La définition des micro, petites et moyennes entreprises doit être recherchée dans une recommandation de la Commission européenne ( Recommandation no 2003/361/CE de la Commission, 6 mai 2003 : JOUE no L 124, 20 mai) :

  • la catégorie des micro, petites et moyennes entreprises est constituée des entreprises qui emploient moins de 250 personnes, et dont le chiffre d’affaires annuel n’excède pas 50 millions d’euros ou dont le total du bilan annuel n’excède pas 43 millions d’euros ;
  • dans la catégorie des PME, une petite entreprise est définie comme une entreprise qui emploie moins de 50 personnes et dont le chiffre d’affaires annuel ou le total du bilan annuel n’excède pas 10 millions d’euros ;
  • dans la catégorie des TPE, une micro-entreprise est définie comme une entreprise qui emploie moins de 10 personnes et dont le chiffre d’affaires annuel ou le total du bilan annuel n’excède pas 2 millions d’euros.

Point de vue de l’AFCDP

A titre de bonne pratique, la tenue d’un registre est recommandée quelle que soit la taille de l’entreprise.

L’entreprise faisant partie d’un groupe n’est pas exemptée

L’entreprise est autonome tout en faisant partie d’un groupe

Dans le cas d’une entreprise autonome, mais faisant partie d’un groupe, la détermination des données, y compris l’effectif, s’effectue uniquement sur la base des comptes de cette entreprise ( Recommandation no 2003/361/CE de la Commission, 6 mai 2003, art. 6, § 1 : JOUE no L 124, 20 mai).

A ces données sont agrégées les données des éventuelles entreprises partenaires de l’entreprise considérée, situées immédiatement en amont ou en aval de celle-ci. L'agrégation est proportionnelle au pourcentage de participation au capital ou des droits de vote (le plus élevé de ces deux pourcentages s’applique). En cas de participation croisée, le plus élevé de ces pourcentages s’applique.

Sont enfin ajoutées, les données des éventuelles entreprises directement ou indirectement liées à l’entreprise considérée et qui n’ont pas déjà été reprises dans les comptes par consolidation.

L’entreprise appartient à un groupe d’entreprises liées ou partenaires

Les données, y compris l’effectif d’une entreprise ayant des entreprises partenaires ou liées, sont déterminées sur la base des comptes et autres données de l’entreprise, ou, s’ils existent, des comptes consolidés de l’entreprise, ou des comptes consolidés dans lesquels l’entreprise est reprise par consolidation ( Recommandation no 2003/361/CE de la Commission, 6 mai 2003, art. 6, § 2 : JOUE no L 124, 20 mai).

A ces données sont ajoutées 100 % des données des éventuelles entreprises directement ou indirectement liées à l’entreprise considérée et qui n’ont pas déjà été reprises dans les comptes par consolidation.

Remarque

L’interprétation est donc extensive : c’est bien l’intégralité d’un groupe qui doit être prise en compte, et non seulement chaque entité. Par conséquent, c’est donc au niveau du groupe que le registre devra être maintenu.

Établir l’inventaire des traitements

L’organisme agit en qualité de responsable du traitement

Lorsque l’organisme agit en qualité de responsable du traitement, il détermine les moyens ainsi que les finalités du traitement. Par conséquent, il est plus aisé d’identifier en interne le ou les responsables de traitements de données à caractère personnel. Pour y parvenir, plusieurs méthodes peuvent être envisagées, notamment par le biais d’outils informatiques. Voici l’une de ces méthodes qui s’articule autour de trois étapes structurantes.

1re étape : lister les applications contenant des données à caractère personnel

Cette première étape nécessite l’implication totale de la direction des systèmes d’information (DSI), et, notamment, des architectes et urbanistes de l’organisme. Elle consiste à établir la liste des bases de données structurées et non structurées, ainsi que des applications contenant des données à caractère personnel.

Point de vue de l’AFCDP

L’interaction avec la DSI ne doit pas être considérée comme la base d’un inventaire des traitements de données à caractère personnel, mais principalement comme une aide, pour veiller à la complétude du registre. Les DSI ne raisonnent pas en finalités, mais bien en applications et en fichiers. Attention à ne pas se perdre à ce stade dans un inventaire des données (cette étape intervient à un stade ultérieur). La phase la plus importante est bien celle réalisée auprès des directions métiers, décrite ci-dessous à la deuxième étape.

De plus, il convient de rappeler que la loi Informatique et libertés s’impose également aux traitements de données personnelles réalisés sur supports papier et qu’il existe au sein des entreprises de plus en plus de solutions SaaS, sélectionnées à l’initiative de directions métiers et dont la DSI n’a pas connaissance.

Cette liste devra contenir deux catégories : celle des « applications » et bases dites « propriétaires », c’est-à-dire des applications et bases installées sur les serveurs de l’organisme et sur lesquelles celui-ci a la parfaite maîtrise, et celle des applications « progicielles », c’est-à-dire les applications tierces mises à disposition en mode SaaS ou sur les serveurs par des éditeurs tiers. Pour chacune de ces applications et bases de données identifiées, il conviendra de lister :

  • les données à caractère personnel traitées ;
  • les durées de conservation mises en place ;
  • la gestion des accès à ces applications et bases de données ;
  • les mesures de sécurité associées.

Certains éditeurs proposent aujourd’hui des outils capables d’identifier des données à caractère personnel au sein de bases de données structurées et non structurées. Il faut souligner que ces outils nécessitent, d’une part, une intrusion dans les systèmes d’information de l’organisme – ce qui peut présenter un risque, raison pour laquelle les responsables de la sécurité des systèmes d’information (RSSI) y sont souvent défavorables –, et, d’autre part, un paramétrage particulièrement coûteux.

Il est plutôt recommandé d’établir une liste des données à caractère personnel susceptibles d’être traitées par l’organisme, tant du point de vue des ressources humaines (RH), que du point de vue du cœur de son activité et de fournir cette liste à la DSI.

Si c’est envisageable, il est également possible de faire appel à un cabinet externe spécialisé.

Il faut insister sur le fait que cette liste ne saurait se suffire à elle-même. En effet, la réglementation relative à la protection des données à caractère personnel raisonne en termes de « finalités » et non en termes d’« applications ». La raison en est simple : une application ou une même base de données peut servir plusieurs objectifs ou finalités, chaque finalité présentant des risques différents pour les personnes concernées. A l’inverse, la réalisation d’une même finalité peut nécessiter l’intervention de plusieurs applications. C’est la raison pour laquelle il est impératif de suivre la deuxième étape.

2e étape : identifier les processus internes impliquant un traitement des données à caractère personnel

Il s’agit ici de déterminer quelles sont les finalités pour lesquelles l’organisme traite des données à caractère personnel et sur quelles bases ces traitements s’opèrent. Pour y parvenir, un seul moyen : identifier les processus internes impliquant des traitements des données à caractère personnel.

Pour mener à bien cette étape cruciale, il est recommandé dans un premier temps de se munir d’un organigramme. Pour les organismes ne disposant pas toujours d’un organigramme complet et à jour, il est préférable de commencer par identifier les différentes directions métiers. Dans l’hypothèse où l’organisation de l’entité serait trop complexe, il est conseillé d’identifier un individu par direction qui sera un relais pendant toute cette phase d’audit.

Il faudra ensuite rencontrer chaque direction métier, de préférence une personne qui connaît parfaitement les activités de sa direction et qui en aurait une vue d’ensemble.

Il faut garder à l’esprit que ces entretiens avec les directions métiers ont pour objectif de déterminer les processus internes impliquant des données personnelles, et qu’il faudra donc en sortir avec non seulement une liste de ces processus mais également une liste de finalités précises pour lesquelles les données sont traitées.

D’une manière générale, il est recommandé de conduire ces entretiens selon la trame suivante :

  • rappel du contexte, des enjeux, et des définitions essentielles (qu’est-ce qu’une donnée à caractère personnel, un traitement, etc.) ;
  • liste des activités de la direction ou du département ;
  • identification des processus internes impliquant des données personnelles ;
  • identification des finalités pour lesquelles les données sont traitées ;
  • identification des conditions de traitement de ces données, et notamment :

    • quelles sont les données collectées ?
    • comment ces données sont-elles collectées ?
    • sont-elles transmises ou accessibles à des tiers ? Si oui, par quelle entité ou département ? Sur la base de quel contrat ?
    • sont-elles transmises ou accessibles depuis un pays situé en dehors de l’Union européenne ?

Sur la base de ces éléments, il est enfin possible d’établir un premier inventaire des traitements sous la forme d’un registre des activités de traitement.

Point de vue de l’AFCDP

A ce stade, il faut éviter deux erreurs courantes :

  • la première est de ne pas s’en tenir à un inventaire, mais d’essayer de réaliser simultanément un audit, une sensibilisation des personnels et une formalisation des actions de mise en conformité. Il vaut mieux privilégier une approche progressive et revenir plusieurs fois sur le sujet. L’objectif prioritaire est de disposer d’un inventaire dans les grandes lignes. Le DPO peut ensuite revenir vers certains interlocuteurs afin d’affiner son registre, en priorité sur les finalités les plus sensibles ;

  • la seconde erreur consiste à vouloir réaliser cet inventaire en diffusant un questionnaire destiné à être renseigné par les directions métiers. Cela suppose que les concepts de base de la loi Informatique et libertés soient maîtrisés par les personnes sollicitées, ce qui est rarement le cas.

3e étape : compléter son registre des traitements

Les informations qui doivent figurer dans le registre des activités de traitement sont limitativement énumérées à l’article 30, § 1 du RGPD, à savoir :

  • le nom et les coordonnées du responsable du traitement, et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du DPO ;
  • les finalités du traitement ;
  • une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, § 1, alinéa 2 du RGPD, les documents attestant de l’existence de garanties appropriées ;
  • dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles de sécurité du traitement visées à l’article 32, § 1 du RGPD.

A titre liminaire, il est important de noter que les durées de conservation et les mesures techniques et organisationnelles de sécurité du traitement doivent figurer dans le registre sous la mention « dans la mesure du possible ». En pratique, cela signifie que, si pour obtenir ces informations, des efforts disproportionnés doivent être réalisés par l’organisme, les autorités accepteraient qu’elles n’y figurent pas. Évidemment, si l’information peut être obtenue en interne, cela ne constitue pas un effort disproportionné.

Point de vue de l’AFCDP

Le registre étant la pierre angulaire du DPO, celui-ci a tout intérêt à ce que ce document soit le plus complet possible et qu’il soit le reflet fidèle de la réalité. Concernant, par exemple, les durées de conservation, cette information est exigée par les agents de la CNIL lors d’une mission de contrôle sur place.

La détermination des durées de conservation n’est pas le fait du DPO ni de la DSI, mais bien de la direction métier. Le DPO peut, par contre, apporter son expertise pour faire en sorte que celle-ci soit proportionnée à la finalité visée. Il est prudent également de chercher à définir, en sus de la durée de conservation en archives courantes (pour la finalité), la durée de conservation en archives intermédiaires (par exemple, en cas de litige).

Par ailleurs, un certain nombre d’éléments ne figurent pas dans cette liste, alors qu’ils doivent pourtant faire l’objet d’une documentation dans le cadre du RGPD. C’est notamment le cas du fondement du traitement. En effet, pour être licite, le traitement doit être fondé sur le consentement de la personne concernée ou reposer sur un autre fondement légitime prévu par la loi, le RGPD, ou toute autre disposition du droit national ou de l’Union.

Point de vue de l’AFCDP

Il est extrêmement rare qu’une direction métier ait les compétences pour déterminer le fondement du traitement. Or, ce choix est essentiel car il a un impact, par exemple, sur le droit d’opposition des personnes concernées. L’expertise du DPO est ici cruciale. Dans le cas où l’intérêt légitime du responsable du traitement serait retenu (RGPD, art. 6, § 1, f), les droits des personnes concernées peuvent être limités. Si le traitement est basé sur le consentement, le DPO veillera à la validité de celui-ci, qui doit pouvoir être prouvé par le responsable du traitement.

Tel que défini par le RGPD, le registre ne permet pas à un DPO d’être efficient. Il lui appartient d’enrichir ce document des informations qui lui paraissent indispensables à sa pratique professionnelle (indicateur de sensibilité du traitement, date de la dernière revue ou du dernier audit, existence d’une analyse d’impact, date et nature de la dernière violation de données ayant affecté ce traitement, outil informatique principal utilisé, etc.).

L’organisme agit en qualité de sous-traitant

D’une manière générale, le RGPD renforce drastiquement les obligations du sous-traitant. Il instaure notamment une nouvelle obligation : celle de tenir un registre des activités de traitement, dès lors que :

  • l’entreprise ou l’organisation compte plus de 250 salariés ;
  • ou lorsque les activités de traitement portent sur des données dites sensibles ou présentent des risques sur les droits et libertés des personnes concernées (RGPD, art. 30, § 2).

En d’autres termes, dans l’hypothèse où l’organisme traite des données pour le compte d’un responsable du traitement (par exemple, un éditeur de logiciel ou encore une entreprise qui stocke des données pour le compte d’une autre), il lui appartient de se mettre en conformité sur deux points (sous-traitant et responsable du traitement) et de maintenir à jour deux registres.

L’enjeu est d’autant plus important qu’aux termes de l’article 28, § 1 du RGPD, lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Afin de pérenniser leur activité, les sous-traitants, au sens du RGPD, ont donc tout intérêt à se mettre rapidement en conformité.

Cela étant, afin de construire son inventaire des traitements, le sous-traitant aura besoin, dans la grande majorité des cas, de travailler en concertation avec le responsable du traitement.

Établir un catalogue des services fournis au responsable du traitement

Lorsque l’organisme agit en qualité de sous-traitant, il fournit des services aux responsables des traitements concernant les données que ces derniers lui confient. Il arrive cependant qu’il soit difficile de déterminer si le sous-traitant agit en tant que tel.

Lorsque la qualité de sous-traitant est établie, la première étape du plan de mise en conformité consiste donc à établir un catalogue le plus exhaustif possible des services proposés à ses clients. A cet effet, il est recommandé de rencontrer l’ensemble des services de l’organisme, afin de déterminer le plus précisément possible ce catalogue des services proposés.

Ce catalogue nécessite d’être enrichi de plusieurs éléments et notamment :

  • des transferts éventuels de données à caractère personnel ;
  • des coordonnées du représentant légal du sous-traitant ;
  • dans la mesure du possible, des mesures de sécurité organisationnelles et techniques mises en œuvre pour assurer la confidentialité et l’intégrité des données personnelles concernées.

L’article 30 du RGPD impose également de renseigner la catégorie de traitements. Ainsi, en miroir de chacune des finalités pour lesquelles des données à caractère personnel sont traitées, il convient de mentionner l’opération de traitement qui y est associée, par exemple la collecte, le stockage, l’exploitation, l’archivage, le transfert, etc.

Il est important de noter que cet inventaire doit pouvoir être mis à la disposition de la CNIL et du responsable du traitement. Un catalogue commercial ne saurait donc suffire (ou pourrait contenir des informations confidentielles) : il est recommandé d’établir un fichier sous format excel, qu’il sera possible de partager aisément avec le responsable du traitement.

Soumettre cette analyse au responsable du traitement

Dans la grande majorité des cas, le sous-traitant ne sera pas en mesure de faire un inventaire des traitements qu’il opère pour le responsable du traitement sans l’appui de ce dernier.

En effet, pour rappel, le responsable du traitement décide des moyens et de la finalité pour laquelle les données sont traitées. Par conséquent, le sous-traitant n’a pas toujours de visibilité sur l’objectif poursuivi par les traitements de données opérés par ses clients. A l’inverse, il arrive parfois que le sous-traitant ait une vision très claire des objectifs poursuivis, mais qu’il n’ait aucune connaissance des moyens techniques employés par le responsable du traitement ou d’autres éventuels sous-traitants.

C’est donc une véritable concertation qui doit être engagée entre le responsable du traitement, le sous-traitant et ses éventuels prestataires pour établir un inventaire complet. Afin d'engager au mieux ces discussions, la logique voudrait que le DPO du sous-traitant contacte le DPO du responsable du traitement.

Dès lors, si l’inventaire n’est pas établi, il est recommandé de mettre en place au plus vite une véritable équipe projet constituée d’un représentant des entités métiers, d’un représentant de la DSI et d’un représentant du département juridique, chacun étant chargé de faire le lien avec ses homologues au sein des organismes clients.

Une fois l’inventaire des traitements établi, il appartiendra au responsable du traitement d’évaluer les risques associés aux données traitées et d’en déduire les mesures techniques et organisationnelles que le responsable du traitement et le sous-traitant devront mettre en œuvre.

Mettre à jour le registre des activités de traitement

Importance de la mise à jour du registre

Démontrer sa conformité vis-à-vis de la CNIL

Il appartient au responsable du traitement ou au sous-traitant (et, le cas échéant, à leur représentant) de mettre le registre à la disposition de l’autorité de contrôle sur demande de celle-ci. Il est donc essentiel, non seulement que ce registre soit établi, mais également qu’il soit mis à jour.

La tenue à jour du registre (comme son établissement) vient pallier la suppression des formalités à effectuer auprès de l’autorité de contrôle. Celle-ci bénéficie ainsi d’une vue générale de l’ensemble des traitements mis en œuvre et à jour. Le maintien à jour du registre est surtout un moyen pour le responsable du traitement et le DPO de connaître en permanence l’état de l’inventaire des traitements, et de pouvoir en assurer la supervision.

Éviter les sanctions

La mise à jour (comme l’établissement du registre) permettra d’éviter les sanctions prévues par le RGPD, faute de pouvoir démontrer la conformité face à un contrôle de la CNIL. Cette mise à jour constitue à la fois un prérequis et l’un des moyens de démontrer sa conformité.

Point de vue de l’AFCDP

La tenue du registre est un prérequis. Son absence est d’ailleurs passible d’une amende prévue à l’article 83, § 4 du RGPD. Mais elle ne saurait suffire à elle seule à démontrer la conformité.

L’AFCDP recommande de ne pas considérer qu’avec un registre à jour il n’y aurait plus de risque de non-conformité.

Le DPO, acteur indispensable de la tenue du registre

Les différents services de l’organisme notifient au DPO :

  • tout changement dans le traitement des données ;
  • toute échéance afin que le registre soit mis à jour.

Remarque

Dans le cadre d’un groupe de sociétés, des relais peuvent être mis en place au sein de chaque entité afin de faire remonter les notifications au DPO, s’il n’y en a qu’un seul pour le groupe. Pour effectuer cette notification, une classification peut être mise en place selon le degré de criticité des traitements considérés. A titre d’exemple, il peut exister des notifications prioritaires pour les traitements de données sensibles, les traitements à risque, etc.

Point de vue de l’AFCDP

L’AFCDP recommande que le DPO soit le pilote de la tenue du registre, ce qui est également suggéré par le CEPD dans ses Lignes directrices sur le DPO ( Lignes directrices du G29 WP243, 13 déc. 2016 ).

Dans ce cadre, il revient au DPO de :

  • déterminer la structure, l’outil de gestion, les modalités d’utilisation du registre ainsi que les modalités d’accès ;

  • créer les fiches du registre, aidé de ses éventuels relais et des MOA ;

  • valider la complétude des fiches.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Aller plus loin
Revue de jurisprudence de droit des affaires
Un résumé des décisions essentielles du mois, des chroniques assurées par des spécialistes du droit des affaires...
369,09 € TTC/an au lieu de 738,18 € TTC/an
Revue de jurisprudence de droit des affaires
Questions fréquemment posées

Quelle forme doit prendre le registre de traitement de données personnelles ?

Le registre de traitement doit se présenter sous une forme écrite, éventuellement électronique. Aucune autre forme n’est imposée (RGPD art. 30).

Le registre de traitement doit-il être systématiquement communiqué à la Cnil ?

Non. Le registre doit permettre avant tout d’aider le responsable de traitement à piloter sa conformité au RGPD.

Le registre doit toutefois pouvoir être communiqué à la Cnil lorsqu’elle le demande, notamment dans le cadre de sa mission de contrôle (RGPD art. 30).

Les dernières actualités dans ce thème
Le Conseil adopte l’IA Act !
Droit des affaires
Protection des données personnelles (RGPD)
Le Conseil adopte l’IA Act !
23 mai 2024