Fermer la publicité
Journal d'information juridique et d'annonces légales

Comment tenir un registre des traitements ?

le - - Droit - Actualité du droit

Comment tenir un registre  des traitements ?
© DR - Xavier Leclerc, CEO de DPMS fondateur et président de l'Union des Data Protection Officer.

CEO de DPMS (Data Privacy Management System), fondateur et président de l'Union des Data Protection Officer (UDPO), Xavier Leclerc est une référence en matière de protection des données personnelles depuis près de 20 ans. Dans cette chronique, il prodigue ses quatre astuces pour tenir un registre des traitements.

Imposée par la réglementation des données personnelles qui va entrer, la tenue du registre des traitements est une preuve de conformité et représente pour les entreprises, l'un des points clés à maîtriser sur cette législation.

L'obligation de tenir un registre des traitements : pour qui ?

L'article 30 du RGPD oblige les entreprises et les administrations de plus de 250 employés à tenir un registre des traitements à jour, de façon rigoureuse. Néanmoins, les plus petites structures ne sont pas complètement mises à l'écart sur cette obligation et devront, elles aussi, se conformer au RGPD sur certains points. En effet, la nouvelle réglementation prévoit également que les entreprises de moins de 250 salariés traitant des données sensibles (opinions politiques, courants religieux, orientation sexuelle) ou effectuant des traitements sur une catégorie particulière de personnes, de manière occasionnelle ou non, doivent également tenir un registre des traitements pour se conformer au RGPD. Par ailleurs, ce même article impose un registre aux organismes mettant en œuvre des traitements récurrents, or la gestion du personnel, la paie ou encore la gestion clients sont autant de traitements récurrents.

Les sous-traitants des données personnelles seront, eux aussi, soumis à la tenue d'un registre des traitements qu'ils opèrent pour le compte de, en plus de leur propre registre. La réglementation des données bouleverse la responsabilité du sous-traitant quant aux traitements des données : il pourra désormais être tenu coresponsable en cas d'écart à la loi, et sera même amené à être audité et sanctionné par la Cnil.

Que trouve-t-on sur un registre des traitements ?

Dans un registre des traitements, la Cnil doit pouvoir retrouver les coordonnées du responsable du traitement, les finalités du traitement (gestion client, gestion du personnel) ainsi que les différentes catégories de personnes concernées par le traitement (salariés, patients, clients). Doivent également figurer dans le registre les gestionnaires des données, qu'ils soient internes ou externes, les destinataires, le parcours des données (en particulier s'il y a transfert hors de l'UE), les délais de conservation des données et la description des mesures de sécurité mises en place pour limiter les risques de fuite et pour optimiser la protection des données. Le registre des traitements peut être tenu par un DPO, missionné par le responsable de traitement.

Le modèle proposé par la Cnil

Pierre angulaire du RGPD, le registre des traitements a une importance considérable sur le chemin de la mise en conformité des entreprises. Pour permettre à chaque structure de répondre à ses exigences en matière de protection des données, la Cnil propose sur son site internet quelques précieux conseils pour tenir un registre conforme aux attentes, mais aussi un modèle de registre pour pouvoir s'en inspirer. L'idée, à travers la mise en place de ce registre, est de responsabiliser les entreprises quant aux enjeux de la protection des données personnelles.

Ce registre devra pour autant être sécurisé et tracer les différentes modifications et ajouts et leurs auteurs, afin de pouvoir constituer une preuve recevable devant une juridiction, prud'homale par exemple.

Quelles sanctions en cas de non-respect de l'obligation à tenir un registre des traitements ?

Quelle que soit la sanction, le montant le plus élevé sera retenu. En cas de non-conformité, l'organisation pourra se voir attribuer une amende administrative pouvant atteindre 10 millions d'euros, Pour l'entreprise, le montant de l'amende pourra s'élever jusqu'à 2 % du chiffre d'affaires annuel groupe de l'exercice comptable précédent. Dans certains cas, l'autorité de contrôle pourra demander l'exécution de plusieurs demandes en cas de non-respect de la loi : effacement des données, limitation du traitement, retrait de certification.

Davantage d'information sur Data Privacy Management System, DPMS.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer