Logo L'avocat Transatlantic

Tout savoir sur le registre des activités de traitement

  • Stephan Grynwajc

Le registre des activités de traitement est un dispositif instauré par l’article 30 du Règlement Général sur la Protection des Données (RGPD). Il permet aux entreprises de recenser l’ensemble des traitements opérés sur les données qu’elles récoltent, mais surtout d’avoir une vue globale de l’usage qui est fait de ces données. 

Ce règlement de l’Union européenne a remplacé depuis le 25 mai 2018 la directive de 1995 sur la protection des données à caractère personnel.

En effet, en tant que société française, il est parfois nécessaire, sinon recommandé d’établir une cartographie des données collectées et traitées par l’entreprise. Notamment lorsque les activités de traitement de l’entreprise incluent des flux transfrontaliers à destination de pays hors Union européenne, tels que le Royaume-Uni, le Canada et les USA.

Avoir consolidé la gestion des traitements par une mise en conformité avec le RGPD, et plus particulièrement par la mise en place d’un ou de plusieurs registres de traitement, constitue la base d’une bonne organisation. Ceci permet à l’entreprise de se mettre en conformité non seulement avec la réglementation française et européenne, mais aussi avec les réglementations de tous les pays tiers dans lesquels elle traite des données à caractère personnel. 

Collecte de données et maintien du registre des activités de traitement

En tant qu’entreprise, lorsque vos activités impliquent la collecte d’informations personnelles sur une ou plusieurs personnes physiques, quel que soit le moyen utilisé (formulaire écrit ou en ligne, récupération de base de données, enregistrement biométrique), et indépendamment du but poursuivi, vous collectez des données personnelles au sens de la réglementation française et européenne, et êtes par conséquent soumis au RGPD et tenu de maintenir un registre de vos activités de traitement. 

Rappelons qu’une donnée à caractère personnelle ne peut être récoltée qu’à condition qu’elle soit accompagnée d’une information claire et préalable, que la collecte s’appuie sur une des six bases légales reconnues par la réglementation, et que la personne concernée dispose d’un droit d’opposition, d’accès et de rectification ainsi que d’un droit à la portabilité (réutilisation, et transmission à un autre responsable de traitement) de ses données. 

Dès lors, préalablement à toute action de collecte ou autre traitement de données il est nécessaire de se poser les questions suivantes, afin de faciliter la mise en œuvre du registre de traitement : 

▪    Mon activité nécessite-t-elle réellement la collecte de toutes ces données ? 
▪    La durée de conservation des données collectées est-elle raisonnable ? 
▪    La protection des données récoltées est-elle suffisante ? 
 

Quel est l’objectif du registre des activités de traitement ? 

Le processus de la tenue du registre des activités de traitement va permettre aux entreprises de cartographier et de donner une vue d’ensemble de la collecte et de l’utilisation des données à caractère personnel. 

À ce titre, l’article 30 du RGPD détermine sept informations impératives concernant le contenu du registre pour chaque activité de traitement : 

▪    Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données. Les sous-traitants, voire le représentant du sous-traitant doivent également remplir cette obligation ;

▪    Les finalités du traitement ;

Pour un usage marketing, la gestion des ressources humaines, etc. 

▪    Une description des catégories de personnes concernées et des catégories de données à caractère personnel. Les sous-traitants, voire le représentant du sous-traitant doivent mentionner les catégories de traitements effectués pour le compte de chaque responsable du traitement ;

Il peut s’agir de salariés, de clients, de prospects, etc. En plus de préciser s’il s’agit d’une collecte de données bancaires, d’identité, d’habitude de consommation, etc.

▪    Les catégories de destinataires auxquels les données à caractère personnel ont été, ou seront, communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ; 

▪    Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées. Les sous-traitants, voire le représentant du sous-traitant doivent également remplir cette obligation ;

▪    Dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ; 

Il s’agit de préciser la durée pendant laquelle les données sont conservées et des mesures prises pour leur effacement. 

▪    Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles (visées à l'article 32, paragraphe 1 du RGPD). Les sous-traitants, voire le représentant du sous-traitant doivent également remplir cette obligation.

Le registre des activités de traitement peut être tenu par écrit, sinon sous une forme électronique et doit être présenté à toute autorité de contrôle qui en fait la demande. Si une irrégularité est commise dans la tenue de ce registre, l’entreprise s’expose à une amende pouvant atteindre jusqu’à 20 millions euros ou 4% du chiffre d’affaires mondial total de l’exercice précédent. 

À noter que la CNIL recommande la tenue d’un formulaire de registre de traitement différent en fonction des domaines d’activité, car la finalité de traitement est différente. Ce qui n’est pas pareil à l’étranger, à l’exemple de l’Information Commissioner’s Office du Royaume-Uni (l'équivalent britannique de la CNIL), qui accepte que toutes les données soient regroupées au sein d’un même registre.

L’importance du registre des activités de traitement en cas de faille sécuritaire 

La volonté du RGPD est de consacrer le principe de minimisation de la collecte de données à caractère personnelle, laquelle doit être rendue nécessaire, adéquate et limitée à une finalité imposée par l’activité et proportionnée au but poursuivi. 

La tenue du registre des activités de traitement a pour objectif de responsabiliser les acteurs en interne, et en externe et permet de documenter tout ce que l’on fait sur les données. Ainsi le flux des données est facilement observable, concernant la manière dont elles sont partagées et exportées, en plus des éventuelles interventions de tiers. 

Il s’agit donc d’une véritable cartographie du traitement des données qui facilite certaines formalités telles que la réalisation d’un audit ou lorsqu’une personne demande des informations sur les données, mais surtout, en cas de faille sécuritaire dans l’hébergement des données. 
Dans cette situation, les acteurs de la protection des données et l’entreprise ont une obligation d’informer, dans les meilleurs délais, la personne concernée ainsi que le régulateur, d’où l’importance de savoir où sont situées les données concernées par la faille. 

RGPD : standard international de la protection des données personnelles

Le RGPD continue, plus de trois ans après son entrée en vigueur, à donner le ton sur la scène internationale en matière de standard de protection des données à caractère personnel, poussant la plupart des autres pays du globe à adopter ou à modifier leur propre réglementation dans le sens de la nouvelle réglementation européenne.

La tenue de registre de traitement de données procède du même esprit et permet, tant aux responsables de traitement qu’à leurs sous-traitants, d’avoir à tout moment une vue consolidée et à jour de leurs opérations de traitement, aussi bien en France qu’à l’étranger, leur permettant ainsi de documenter leur conformité non seulement à la réglementation européenne, mais aussi aux diverses réglementations étrangères.  

Stéphane Grynwajc, avocat RGPD doté d’une double expertise en droit européen et nord-américain (US et Canada) des données personnelles, vous accompagne dans la mise en place de vos registres de traitement et dans les différentes étapes de votre mise en conformité avec le RGPD et les diverses réglementations américaines et canadiennes applicables en matière de traitement de données. Pour plus d’informations sur les services transatlantiques d’avocat RGPD du cabinet, nous vous invitons à nous contacter.
 

Articles similaires:

Articles récents

Recevoir nos futurs articles*

* En renseignant votre adresse email afin de vous abonner à notre lettre d’information, vous consentez expressément au traitement de cette donnée personnelle aux fins de gestion des abonnements et d’envoi de notre lettre d’information. Vous pouvez à tout moment retirer votre consentement et demander à vous désabonner en nous contactant via notre “formulaire de contact”. Pour d’avantage d’information sur les traitements de données personnelles mis en œuvre sur ce site, veuillez consulter notre politique de protection des données.

Copyright © Law Office of S. Grynwajc, PLLC
L’avocat transatlantique® est une marque enregistrée
Tous droits réservés.

Facebook Instagram Linkedin Skype
Open chat
Powered by Joinchat
Hello, how can we help ?