L’obligation généralisée de tenir un registre des activités de traitement
L’existence du registre des activités de traitement n’est pas récente. Sous l’empire de la loi Informatique et libertés, un registre doit être établi - pour les traitements exonérés de déclaration auprès de la CNIL- par le correspondant informatique et libertés sur le fondement d’éléments fournis par le responsable du traitement. Ainsi, seul celui-ci était concerné.
Le nouveau règlement étend désormais cette obligation aux sous-traitants, le registre étant effectué sous la responsabilité du responsable du traitement ainsi que celle du sous-traitant. Ainsi, les contrevenants s’exposent à des amendes administratives lourdes pouvant aller jusqu’à dix millions d’euros ou 2 % du chiffre d’affaires annuel mondial sur l’exercice précédent.
Les organismes concernés ont donc intérêt à mettre en place un registre conforme et fidèle à la réalité tout en étant vigilants dans son maniement. Aucune date butoir spécifique n’a été prévue pour la création du registre. Celui-ci doit être constitué et complet le jour de la mise en application du règlement.
Quels sont les organismes concernés ?
Toutes les entreprises et administrations de plus de 250 employés sont concernées.
Cependant celles dont le nombre d’employés est inférieur à ce seuil devront, au même titre, établir un registre pour les traitements non occasionnels ou qui portent sur des données sensibles ; pour ceux susceptibles de comporter un risque de violation des droits et libertés individuelles des personnes concernées ou ceux relatifs à des condamnations pénales et des infractions.
Il convient en outre de souligner que l’absence de désignation d’un délégué à la protection des données ne dispense pas l’organisme de tenir un registre.
Le registre est-il communicable aux tiers ?
Le registre doit être mis à disposition de l’autorité de contrôle à sa demande. Bien que la loi Informatique et libertés énonce expressément le caractère public du registre, le RGPD ne se prononce pas sur ce point. En toute logique, le registre sera communiqué aux personnes qui en formuleront la demande.
Quelles sont informations qui doivent figurer dans le registre ?
Le registre doit comporter, a minima, les informations suivantes. L’identification du responsable de traitement et de son représentant, du responsable conjoint du traitement le cas échéant et du délégué à la protection des données ; les finalités du traitement ; les catégories de données concernées et catégories de personnes concernées ainsi que les catégories de destinataires des données ; les transferts internationaux ainsi que la documentation attestant l’existence de garanties appropriées ; les délais prévus pour l’effacement des différentes catégories de données et dans la mesure du possible, une description générale des mesures de sécurité techniques destinées à protéger les données.
Avoir un registre complet est-il suffisant pour être en conformité ?
La seule tenue du registre, bien que fondamentale, n’est pas suffisante pour satisfaire aux nouvelles exigences de conformité. La documentation à tenir devra en outre comporter les analyses d’impact s’il y a lieu, les garanties d’encadrement des transferts des données en dehors des pays de l’Union européenne, les procédures d’encadrement de l’information des personnes fichées ainsi que les contrats qui définissent les rôles et les responsabilités des acteurs qui traitent les données.
Organiser, planifier et affecter des moyens adaptés
Au plan opérationnel, la question centrale qui se pose est de savoir comment organiser et maintenir la conformité du registre aujourd’hui et dans le temps. Il conviendra de :
recenser toutes les procédures relatives à la protection des données personnelles après avoir défini au préalable les outils nécessaires à ce recensement ;
déterminer la personne en charge et affecter des moyens financiers et humains adaptés ;
sensibiliser, responsabiliser et former les parties prenantes ;
définir pour chaque traitement si la réglementation relative à la protection des données personnelles est applicable ;
désigner le responsable de traitement et savoir quelles données ou catégories de données ont fait l’objet d’un transfert en dehors de l’Union européenne ;
organiser qualitativement et périodiquement la remontée des informations : un agenda de rendez-vous peut être arrêté ;
créer une trame de registre et y indiquer l’ensemble des traitements par finalité poursuivie : sur ce point, il sera utile de se référer aux modèles élaborés par la CNIL ;
prévoir des mises à jour régulières et automatiques avec la direction des systèmes d’information et le responsable de traitement.
Recherche Avancée sur le Village
Discussion en cours :
Vous notez, fort justement, que la disposition contenue actuellement dans l’article 22.III de la loi Informatique et Libertés ("Le correspondant ...tient une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande") n’est pas présente dans le RGPD (http://www.afcdp.net/Reglement-annote-et-commente-avec).
L’une des contreparties de cette disparition est l’inflation des informations que nous devons (au titre de la loi pour une République numérique)/devrons (au titre du RGPD) communiquer aux personnes concernées.
Dans son article 30.4, le RGPD indique clairement que le registre est à disposition des autorités de contrôle. Nous n’avons pas eu d’indications qui laissent penser que la prochaine loi Informatique et Libertés aille au-delà, aussi je suis surpris de l’assertion selon laquelle " En toute logique, le registre sera communiqué aux personnes qui en formuleront la demande". Disposez-vous d’une information qui étaye cela ?
A part les responsables de traitement soumis à la loi CADA et qui pourraient être dans l’obligation de communiquer ce document (considéré comme un document administratif communicable), je ne vois pas où serait cette obligation.
C’est la raison pour laquelle les CIL - préfigurateurs des futurs DPO - prennent bien soin, depuis douze ans, de bien séparer la partie qui répond aux exigences de l’article 48 du décret n°2005-1309 du 20 octobre 2005 des informations supplémentaires dont ils ont besoin pour être efficients (outils et ressources mises en oeuvre dans le cadre du traitement, date et enseignements du dernier audit de conformité/de sécurité réalisé sur ce traitement, nombre de demandes de droits exercées par les personnes concernées sur les traitements, précisions sur les mesures de réduction des risques, etc.), et dont ils ne souhaitent pas que ces dernières puissent être consultées par "toute personne en faisant la demande".
Il convient de noter également la récente évolution de l’actuel article 31 de la loi Informatique et Libertés (la CNIL a mis en ligne en Open data l’intégralité des déclarations qui lui avaient été faites). Les DPO prochainement désignés auprès de la CNIL (s’ils n’ont pas déjà réalisé l’inventaire de leurs traitements en tant que CIL) doivent impérativement consulter ces bases (de grosses surprises à la clé, n’importe qui pouvant déclarer en ligne n’importe quoi).
Bruno Rasle - Délégué général de l’AFCDP- delegue.general chez afcdp.net - Tel. +33 (0)6 1234 0884 - www.afcdp.net