Décembre 2018

Faire son registre des traitements tout seul #RGPD – Pierre LOIR

Le registre des activités de traitement, ou registre des traitements, kesako ?

Le registre des activités de traitement est LE document clef qui vous permettra de justifier de votre bonne volonté à mettre votre entreprise en conformité RGPD (Règlement Général sur la Protection des Données). C’est dans celui-ci que vous allez répertorier les caractéristiques des traitements (utilisations) de données personnelles que vous effectuez.

Vous devrez le présenter aux autorités de contrôle, mais il vous sera surtout utile pour maitriser vos données, et sera la fondation la plus solide de votre mise en conformité. Sans plus attendre : Voici ce que vous devez savoir.

Il y a deux types de registres : le registre du responsable du traitement, et celui du sous-traitant. En clair : il vous faut un registre des traitements de données personnelles que vous effectuez par votre volonté propre (ou avec un coresponsable), et un registre des traitements que vous effectuez pour le compte d’un autre (qui sera donc le responsable de ces traitements, et vous son sous-traitant au sens du RGPD).

Le registre des activités de traitement est obligatoire si votre entreprise manipule des données sensibles (articles 9 et 10 du RGPD), si vos traitements sont susceptibles de comporter des risques pour les droits et libertés des personnes concernées (terme flou mais l’on imagine les conséquences d’une divulgation d’un dossier de contentieux prud’homal, ou de la liste des utilisateurs d’une plateforme de rencontre), et si votre entreprise comporte plus de 250 salariés.

Par conséquent, mieux vaut en avoir un dans tous les cas, d’autant qu’il vous simplifie la vie par la suite.

I. Le registre peut être élaboré sous plusieurs formes

Sa forme plus évidente est due au fait que vous allez régulièrement ajouter, supprimer ou modifier des traitements : c’est le tableur Excel. Un fichier Excel a l’avantage de permettre de rajouter facilement des lignes et des colonnes et d’être partiellement accessible aux collaborateurs concernés par les traitements (nouveaux ou évoluant). Ils pourront y ajouter ou supprimer des éléments en temps réel, sous la supervision de votre Délégué à la Protection des Données (DPO/DPD) ou du responsable que vous aurez désigné à cette tâche.

Certaines entreprises vous proposent également des outils pour aboutir à ce même résultat. Est-ce utile ou non? A vous d’en juger, mais lorsque votre taille est réduite il n’est pas forcément nécessaire de s’encombrer d’un nouveau prestataire.

Enfin, l’important étant que ce soit un écrit, vous pouvez également faire un registre manuscrit, même si cette méthode nous semble un peu désuète et risquée en cette fin 2018. Observantiae, ni aucun de ses partenaires ne sont tombés sur ce cas.

Pour vous aider, la CNIL a mis en ligne un certain nombre de modèles dont vous pouvez vous servir comme base :

Un modèle général

Un modèle pour les TPE/PME

II. Notre méthode pour le remplir sans erreur

Vous vous en doutez, l’idéal est de bien connaître votre entreprise. Il y a plusieurs méthodes, mais nous vous recommandons celle-ci :

  1. Cela va de soi : comprenez bien ce que signifient les mots traitement, donnée personnelle, responsable de traitement et sous-traitant (pour ne pas faire d’erreur dans vos registres ou y mettre des informations inutiles ou fausses).
  2. Récupérez votre organigramme, une liste des outils et des documents compilant l’ensemble des activités de votre entreprise.
  3. Étudiez-les. Vous devez bien comprendre qui fait quoi et la complexité des missions de vos collaborateurs pour vous faire rapidement une première idée des grandes catégories de traitements effectués.
  4. Sélectionnez, dans votre personnel, celles et ceux qui semblent être les « chefs d’orchestre » de la plupart des traitements de données (exemple le/a DRH)
  5. Interrogez-les en vous appuyant sur les éléments à remplir dans le registre : préparez votre modèle et soyez armé de l’article 30 du RGPD pour n’omettre aucun élément.
  6. Commencez par un document général (cartographie), et visez des finalités (objectifs) larges (exemple : recrutement) que vous complexifierez en les subdivisant par la suite.
  7. Documentez les traitements : ce sera utile aux autorités de contrôle pour comprendre comment vous vous y prenez pour effectuer les traitements cités. Toute documentation complète et pédagogique sera la bienvenue pour l’y aider, et rendre ce contrôle rapide, non conflictuel et efficace.

Sur ces bonnes paroles, nous vous souhaitons une bonne route pour l’élaboration de ce document. Le RGPD n’a pas été conçu pour être un savoir limité à une minorité de personnes se réfugiant derrière des termes nébuleux, mais une logique compréhensible et applicable par tous.

C’est pourquoi nous nous attelons à le vulgariser aussi souvent que nécessaire dans notre Datablog. Nous avons incrusté des liens dans cet article vous rapportant aux pages concernées sur le site de la CNIL, pour des recherches plus approfondies.

Cependant, si vous n’avez pas le temps de vous mettre en conformité tout seul, n’oubliez pas qu’Observantiae est là pour vous accompagner, ou pour tenir la barre en tant que DPO externalisé tout en s’adaptant à votre budget.

Pierre LOIR

Fondateur d’Observantiae

LOGO_RENDU-01.png