Pour rappel, le Règlement Général sur la Protection des Données (RGPD) impose une série d’obligations pour les organisations qui collectent, traitent et stockent des données à caractère personnel afin d’assurer la protection des informations traitées.
L’une de ces obligations incontournables est le registre de traitement qui occupe une place plus que centrale dans la gouvernance des données personnelles.
Si le registre se veut être un élément essentiel du plan de pilotage « RGPD », il est encore trop souvent méconnu de la plupart.
Dans les lignes suivantes, nous nous efforcerons donc de détricoter ce registre.
Qu'est-ce qu'un traitement de données personnelles ?
Le premier élément à mettre en exergue est sans conteste la notion de traitement de données personnelles. L’ensemble des traitements constituant le registre.
Le RGPD le définit comme « toute opération ou ensemble d’opérations appliquées à des données, telles que la collecte, l’enregistrement, la conservation, la consultation, la communication par transmission, la diffusion ou la mise à disposition ».
En d’autres termes, dès que nous faisons une action sur des données personnelles, il s’agit d’un traitement de données.
Par exemple : Louis récolte l’ensemble des adresses mails des personnes intéressées par un projet mené afin d’en faire une liste en vue de leur envoyer les nouveautés concernant ce projet.
Qu'est-ce qu'un registre de traitement ?
Le registre de traitement est une cartographie à un moment T de l’ensemble des opérations de traitement de données à caractère personnel effectuées au sein de l'organisation. Ainsi, il permet de recenser et de décrire l’ensemble des processus de traitement de données personnelles.
Le registre n’est donc pas une énumération de l’ensemble des données personnelles détenues par la commune/le CPAS. C’est, en quelque sorte, un catalogue de l’ensemble des processus au sein d’une commune/d'un CPAS où sont traitées des données personnelles.
| → Modèle de registre de traitement de données à caractère personnel (Excel) |
Qui doit tenir un registre de traitement ?
Les communes doivent disposer d’un registre de traitement.
Le RGPD prévoit, en effet, que toute organisation de plus de 250 employés doit tenir un registre.
Celles de moins de 250 employés ne doit pas en tenir sauf pour les traitements qui :
- ne sont pas occasionnels,
- impliquent des catégories particulières de données (santé, politique, religieuse, etc.),
- présentent un risque pour les droits et libertés des personnes.
Toutefois, peu de traitements sont occasionnels au sein des communes/CPAS, il nous paraît donc important que chacune dispose d’un registre de traitement en bonne et due forme qui peut, le cas échéant, se limiter aux traitements qui ne tombent pas sous le champ d’application de l’exception décrite ci-dessus.
Concrètement, le registre doit être tenu par le responsable de traitement. Dans les faits, c’est souvent le DPO qui est à la manœuvre. Compte tenu de la transversalité nécessaire pour tenir à jour ce registre, il est impératif que le DPO puisse avoir des relais dans chaque service de l’administration.
Que doit contenir le registre de traitement ?
L'article 30 du RGPD prévoit les mentions obligatoires du registre, on doit d’ailleurs y retrouver :
- nom et coordonnées du responsable de traitement (et éventuellement du sous-traitant),
- finalités du traitement (pourquoi les données sont-elles collectées ?),
- catégories de personnes concernées (clients, salariés, prospects, etc.),
- catégories de données collectées (données d’identification, données bancaires, etc.),
- destinataires des données (internes ou externes),
- transferts internationaux de données,
- durée de conservation des données,
- description des mesures de sécurité techniques et organisationnelles appliquées.
À côté de ces mentions obligatoires, il est laissé à la discrétion des communes/CPAS d’ajouter des éléments pertinents afin de faire du registre un véritable outil de gouvernance concernant la mise en conformité au RGPD.
Nous attirons l’attention que si l'organisation agit comme sous-traitant au regard du RGPD, il convient de constituer un registre de traitement pour les activités de sous-traitance. Ce cas n’étant pas le plus fréquent, nous entrerons pas dans le détail.
À quoi sert le registre ?
Le registre de traitement doit être vu comme une réelle plus-value pour la commune/le CPAS sur plusieurs points de vue :
1. L’identification et la maîtrise du risque
Le registre, notamment via les liens vers les process, permet au DPO d’analyser et identifier les risques potentiels tels que la collecte ou la conservation excessive, un manque de sécurité physique ou technique des données, etc. In fine, cela permettra de corriger certains processus, le cas échéant.
Par ailleurs, le responsable de traitement pourra avoir une vue globale de l’ensemble des processus où il y a une donnée personnelle et donc avoir une véritable maitrise sur les données et les flux liés à celles-ci.
2. Apaiser les relations avec l’Autorité de Protection des Données (APD)
Lors d’un contrôle de l’APD, qu’il soit d’initiative ou non, le premier élément qui sera demandé sera le registre de traitement. Celui-ci étant la pierre angulaire du début d’une mise en conformité. Fournir ce registre à l’APD sera un préalable afin de prouver que l'organisation respecte le RGPD.
3. Véritable outil de transparence et de gouvernance
Un registre complet est la preuve d’une gouvernance raisonnée et structurée de la mise en conformité du RGPD tout en renforçant la transparence en apportant une vision claire des traitements réalisés.
4. Facilité l’exercice des droits de la personne concernée
Le RGPD reconnait une série de droits aux personnes concernées et lors de l’exercice de ces droits, le registre permettra un suivi plus rapide de la demande dès lors que le DPO peut directement s’en référer.
Conclusion
Le registre de traitement outre son caractère obligatoire pour se conformer au RGPD doit être vu comme un véritable outil de gouvernance qui doit permettre de mieux contrôler et prévenir les risques liés au traitement de données personnelles.
💡Conseil d'un DPOBonnes pratiques pour la tenue du registre :
|
