Fini le temps des déclarations préalables auprès de la CNIL, l’heure est à la responsabilisation ! En effet, depuis l’entrée en application, le 25 mai 2018, du Règlement Général sur la Protection des Données, dit RGPD, les responsables de traitement ainsi que leurs sous-traitants de données doivent documenter leur conformité, c’est le principe d’Accountability. Parmi les obligations de documentation, la tenue du registre des activités de traitement illustre parfaitement cette exigence de responsabilisation (Article 30 du RGPD).
Lors de la rédaction du registre, les Délégués à la Protection des Données, ou les responsables de la conformité RGPD, rencontrent fréquemment les problématiques suivantes :
- Quelle démarche adopter pour une rédaction efficiente du registre ?
- Quels sont les acteurs qui devront m’accompagner dans la rédaction du registre ?
- Quels sont les principes à suivre pour un registre conforme aux exigences de la règlementation ?
Afin de répondre à toutes ces problématiques, je vous propose dans cet article, une méthodologie pour mener à bien la rédaction du registre des activités de traitement de votre organisme.
Les objectifs du registre des traitements
Le registre des activités de traitement ou plus communément, registre de traitement a pour objectif de recenser les traitements de données à caractère personnel effectués par un responsable de traitement ou par un sous-traitant de données.
En documentant l’ensemble des traitements de données, le registre se présente comme étant un réel outil de pilotage et de maîtrise de la conformité.
En pratique, le registre se compose de fiches de traitement. Une fiche doit être établie pour chaque activité de traitement. Pris au pied de la lettre, le registre se composera d’autant de fiches que de traitement de données à caractère personnel au sein d’un organisme, ce qui posera des problèmes de maintenabilité et de tenue du registre.
L’objectif est de regrouper les traitements (ayant tous une finalité propre) autour d’une finalité unique et cohérente, la finalité principale. Ensuite, si nécessaire, cette finalité principale peut être détaillée en sous-finalités.
Ainsi, une fiche de traitement sera établie pour chaque finalité principale identifiée. (n’hésitez pas à regarder ma vidéo sur le sujet)
Le registre des traitements, une obligation pour tous ?
Il est obligatoire de tenir un registre de traitement lorsque votre organisme emploie plus de 250 salariés.
Donc une organisation composée de moins de 250 salariés est exemptée de registre ? Pas totalement, cette dérogation est levée dans les cas suivants :
Lorsqu’un traitement de données personnelles est non occasionnel et cela quel que soit le nombre de salariés ;
- Lorsque les traitements portent sur des données dites « sensibles » ;
- Lorsqu’un traitement est susceptible de comporter un risque de violation des droits et libertés individuelles des personnes concernées par le traitement ;
- Lorsqu’un traitement est relatif à des condamnations pénales et des infractions.
Attention, l’obligation de tenir un registre des traitements concerne aussi bien les responsables de traitement que les sous-traitants de données à caractère personnel.
Quelles informations doit-on renseigner dans le registre des traitements ?
Pour les responsables de traitement, l’article 30, 1 du RGPD dispose que le registre des activités de traitement doit mentionner les informations suivantes :
- Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
- Les finalités du traitement ;
- Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
- Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées ;
- Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.
Mais rien n’empêche d’enrichir le registre d’informations complémentaires. Au contraire, cela permettra de faire du registre un outil plus global de pilotage de la conformité.
L’obligation de tenir un registre des traitements concerne également les sous-traitants de données. Les informations exigées sont listées à l’article 30. 2 du RGPD.
Les acteurs de la réalisation du registre des traitements
Le Délégué à la protection des données (DPD/DPO)
Même si les textes n’en disposent pas expressément, en tant que « chef d’orchestre » de la conformité en matière de protection des données, le DPO sera naturellement la personne en charge de la rédaction et de la tenue du registre au sein de l’organisme.
Les Métiers ou Les Référents informatique et liberté (RIL)
La rédaction du registre nécessite, pour le DPO, l’appui d’un référent pour chaque domaine métier.
A défaut de référent informatique et libertés nommé dans chaque domaine métier, une personne doit être désignée dans chaque service ou département. Ce sont des interlocuteurs au niveau opérationnel ayant les connaissances nécessaires pour identifier les activités de traitement de donnée.
Le Responsable de la Sécurité des Systèmes d’informations (RSSI)
Le RSSI fait bien évidemment partie des métiers décrits précédemment mais son implication ne s’arrêtera pas à la rédaction de fiches de traitement de son domaine métier.
En ayant la charge opérationnelle d’appliquer les règles de sécurité logiques et physiques à l’ensemble du système d’information, le RSSI est l’expert qui possède les connaissances en matière de mesures de sécurité appliquées.
En effet, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre dans les traitements est exigée par le registre. Ces connaissances de sécurité sont souvent mal maîtrisées par les métiers eux-mêmes.
Ainsi, préalablement à la phase de rédaction du registre, l’assistance du RSSI sera requis. Cela permettra d’établir une cartographie applicative et des mesures de sécurité.
Le DPO obtiendra une vue globale des mesures de sécurité présentes dans la politique de sécurité du système d’information (PSSI) ainsi que les mesures appliquées aux applications/ logiciels utilisés par les métiers.
Quelle démarche pour la rédaction du registre des traitements ?
Identification des interlocuteurs
Un interlocuteur devra être désigné dans chaque périmètre métier.
Cet interlocuteur devra impérativement posséder de bonne connaissance de son périmètre métier. Ainsi, des profils ayant de l’expérience au sein de l’organisme sont à privilégier.
Ces interlocuteurs devront ensuite faire l’objet d’une sensibilisation à la règlementation et appuieront ensuite le DPO à la rédaction du registre.
Sensibilisation
Suite à la désignation des interlocuteurs métiers, une difficulté réside : les métiers ne parlent pas le langage « protection des données ».
Ainsi, avant d’impliquer les métiers à la rédaction du registre, une sensibilisation sur les principes et notions de la règlementation est indispensable.
Aussi, cette étape de sensibilisation permettra une prise de conscience des métiers de ce qui est attendu lors de de la rédaction du registre.
Cartographie applicative
Cette étape est effectuée par le DPO et le RSSI.
L’objectif de cette étape est de réaliser une cartographie applicative afin de recueillir toutes les mesures de sécurité techniques et organisationnelles présente dans les applications/ logiciels utilisés par les métiers.
En addition de cette cartographie, s’ajoutent les mesures de sécurité présentes dans les divers politiques de sécurité de l’organisme (ex : Politique de Sécurité des Systèmes d’Information ; Politique De Confidentialité Des Données À Caractère Personnel …).
Cette cartographie apportera une meilleure vision des mesures de sécurité au DPO et aux métiers. Cela permettra ensuite de renseigner plus aisément les fiches de traitement lors de l’étape de rédaction.
Rédaction du registre des traitements
Travail préliminaire
En fournissant un modèle de fiche de traitement, cette étape permettra aux métiers de se préparer aux attendus du registre et de regrouper les informations nécessaires à la rédaction des fiches de traitement lors de l’atelier avec le DPO.
Les métiers pourront commencer à renseigner au mieux leurs fiches de traitement, allégeant ainsi l’étape suivante.
L’objectif de cette étape n’est pas de faire remplir les fiches du registre par les métiers. Faire rédiger les fiches de traitement uniquement par les métiers n’est pas une pratique recommandée. Pour un registre cohérent et sans lacune, la rédaction des fiches de traitement nécessite une collaboration du DPO et des métiers.
Atelier DPO et Métiers
Un atelier « Registre » est organisé pour chaque métier. Lors de ces ateliers, le DPO et l’interlocuteur/référent métiers déterminent les fiches de traitement qui doivent être établies.
Ainsi, lors des ateliers, le DPO et les interlocuteurs vont renseigner l’ensemble des informations exigées à l’article 30 du RGPD.
La rédaction du registre sera l’occasion pour le DPO d’informer et de conseiller les métiers et de contrôler le respect des divers traitements aux exigences de la règlementation :
- Soumettre les traitements au principe de minimisation (Article 5.1.c du RGPD) « Cette donnée est-elle nécessaire dans le cadre du traitement ? » ;
- Soumettre les traitements au principe d’une durée de conservation limitée (Article 5.1.e du RGPD) « Une durée de conservation a-t-elle été fixée ? Une purge des données est-elle prévue ? »
Face aux manquements à la règlementation relevés lors des ateliers, cette étape de rédaction sera l’occasion pour le DPO d’enrichir son plan d’action de mise en conformité.
Les principes entourant la rédaction du registre des traitements
Un registre écrit
Ce registre doit être fait par écrit (format papier ou électronique)
Un registre clair et précis
Le registre doit être clair et précis pour l’autorité de contrôle (CNIL) et compréhensible pour l’ensemble des acteurs en charge de la conformité collaborant au sein de votre organisme.
Un registre à jour
Les informations renseignées dans le registre doivent être exactes et refléter les traitements opérés.
Par ailleurs, le registre est un outil vivant qui doit faire l’objet de mises à jour constantes, il doit être à jour des évolutions fonctionnelles et techniques qui portent sur les traitements de données.
De plus, une revue périodique du registre avec les métiers doit être mise en place. Une revue complète du registre tous les ans est une bonne pratique.
En appliquant cette démarche proposée, vous avez maintenant les clés pour mener au mieux la rédaction du registre des traitements de votre organisation.