Qu’est-ce qu’un registre de traitements ?

Le registre permet d’identifier précisément :

  • Les différentes parties qui interviennent dans le traitement de données à caractère personnel : responsable de traitement, sous-traitant avec leurs coordonnées
  • Les catégories de personnes concernées : candidat, employé, prospect, client
  • Les catégories de données traitées
  • Les destinataires des données, y compris les sous-traitants
  • La durée de conservation
  • Les mesures de sécurité mises en place, ou encore,
  • Les transferts hors Union européenne.

Présenté sous forme de fiches de registre pour chaque activité de traitement, le registre permet donc de documenter l’ensemble des traitements de données au sein de l’organisme.

La Règlementation n’impose pas de forme précise pour ce registre, la seule obligation étant que le registre se présente sous une forme écrite, papier ou électronique.

Le responsable de traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité.

Parallèlement, le sous-traitant doit également tenir un registre de toutes les activités de traitement effectués pour le compte du responsable de traitement.

La tenue du registre est obligatoire pour la plupart des organismes. Il existe quelques exceptions à la tenue du registre.

Au sein de l’organisme, la tâche de la tenue du registre peut être confiée à une personne. Cela peut être confié au DPO.  

La CNIL propose un modèle de registre de base permettant de répondre aux exigences principales posées par la Règlementation.

  • Chaque organisme doit s’approprier le registre pour en faire un véritable outil de pilotage de la conformité à la Règlementation.

Article 30 du RGPD – Registre de traitement

Fiche sur les exceptions à la tenue d’un registre

Qu’est-ce qu’une analyse d’impact (« PIA ») ?

Une analyse d’impact est un processus consistant

  • à décrire le traitement de données,
  • à évaluer la nécessité ainsi que la proportionnalité du traitement,
  • à aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel.

Cette gestion des risques pour les personnes concernées est réalisée en

  • en évaluant les risques,
  • en déterminant les mesures nécessaires pour y faire face. 

Les risques à évaluer sont de trois ordres :

  • la perte de confidentialité des données, c’est-à-dire un accès non autorisé ou accidentel aux données
  • la perte d’intégrité des données, c’est-à-dire la modification non autorisée ou la modification accidentelle des données
  • la perte de disponibilité des données, c’est-à-dire la disparition ou la destruction.

L’évaluation des risques se fait d’après leur vraisemblance et leur gravité

  • la vraisemblance, c’est-à-dire la probabilité que le risque survienne,
  • la gravité des risques pour les personnes concernées.

Des mesures de sécurité sont mises en place pour limiter les impacts sur la vie privée des personnes concernées et que le traitement ne présente pas de risques pour les personnes concernées.

Si le traitement présente un risque résiduel à l’issue de l’analyse d’impact, et que le responsable de traitement souhaite mettre en place le traitement, alors l’autorité compétente, la CNIL, devra être consultée.  

L’analyse d’impact est obligatoire pour certains traitements de données, notamment les traitements à grande échelle de données sensibles. Alors que d’autres traitements n’en requièrent pas.

Même si elle n’est pas obligatoire, l’analyse d’impact permet de s’assurer de la conformité du traitement à la Règlementation.

Article 35 du RGPD – Analyse d’impact relative à la protection des données

Qu’est-ce qu’un « DPO» ?

DPO est l’acronyme pour « Data Protection Officer » ou Délégué à la protection des données en français. Il est chargé de mettre en œuvre la conformité de l’organisme qui l’a désigné à la réglementation sur la protection des données. Le DPO est le « chef d’orchestre » de cette conformité.

Le DPO est l’interlocuteur privilégié pour les différents acteurs : autorité de contrôle, personnes concernées, entités économiques au sein d’un organisme…

Le DPO accompagne et conseille les responsables de traitements de données à caractère personnel dans leur démarche de conformité à la Règlementation.

Le DPO peut être une personne en interne chargée de cette fonction ou une personne externe avec un contrat de service. Le DPO peut être mutualisé entre plusieurs organismes du même groupe ou autorités selon la structure organisationnelle et taille.

Les missions du DPO sont déclinées en plusieurs tâches prévues par la Règlementation.

La désignation d’un DPO est obligatoire dans certains cas. Le DPO sera choisi en tenant compte de ses qualités professionnelles et de sa capacité à accomplir ses missions.

C’est un acteur clé de la règlementation relative aux données personnelles.

Article 37 du RGPD – Désignation du délégué à la protection des données

Article 38 du RGPD – Fonction du délégué à la protection des données

Article 39 du RPGD – Missions du délégué à la protection des données

Fiche sur les cas de désignation d’un DPO

Qu’est-ce qu’un sous-traitant ?

La notion de sous-traitant est définie par la Règlementation. Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement » dans le cadre d’un service ou d’une prestation.  

Par exemple sont des sous-traitants : les prestataires de services informatiques chargés de l’administration, l’hébergement ou de la maintenance, les entreprises de sécurité informatique, les agences de marketing ou de communication qui traitent des données personnelles pour leurs clients…

Les sous-traitants doivent présenter des garanties suffisantes en termes de connaissances spécialisées, de fiabilité et de ressources pour satisfaire aux obligations de la Règlementation.

Un contrat devra être établi entre le responsable de traitement et le sous-traitant afin de déterminer notamment :

  • L’objet et la durée de la prestation que le sous-traitant effectue pour le compte du responsable de traitement,
  • La nature et la finalité du traitement,
  • Le type de données à traiter et les catégories de personnes concernées
  • Les obligations et droits du responsable de traitement
  • Les obligations et droits du sous-traitant

Le sous-traitant est soumis à des obligations similaires à celles du responsable de traitement : tenir un registre de traitements, désigner un DPO le cas échéant ou réaliser une analyse d’impact.

Article 28 du RGPD – Sous-traitant

Qu’est-ce qu’un responsable de traitement ?

La notion de responsable de traitement est définie par la Règlementation. Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».  

Cette personne va ainsi devoir fixer les objectifs du traitement et allouer les moyens humains, financiers et techniques nécessaires pour mettre en œuvre le traitement. En d’autres termes, il va décider du « pourquoi » et du « comment » s’agissant du traitement de données à caractère personnel.

Le responsable de traitement est responsable civilement et pénalement en cas de violation de la Règlementation. Dans les organisations, c’est l’entité juridique qui est le responsable de traitement. Ce responsable de traitement est incarné par le représentant légal de cet organisme afin de jouir d’un certain pouvoir au sein de l’organisme pour faire respecter la Règlementation.

Il est possible que les finalités et les moyens d’un traitement de données à caractère personnel soient déterminés par plusieurs organismes. On parlera alors de responsables conjoints de traitement.

Pour autant, le fait que plusieurs acteurs soient impliqués dans un même traitement ne signifie pas qu’ils agissent nécessairement en tant que responsables conjoints. Cette qualification implique un examen au cas par cas pour chaque traitement.

Article 4 du RGPD – Définitions

Article 24 du RGPD – Responsabilité du responsable de traitement

Article 26 du RGPD – Responsables conjoints de traitement