En clair cette obligation est plus contraignante car le nouveau règlement impose de recenser tous les traitemnets réalisé par l’organisation, mais également de documenter leur conformité.
De manière générale il est conseillé d’utiliser un logiciel RGPD qui permet d’automatiser la fabrication et la gestion du registre et de disposer de traitements pré-documentés, ce qui économise des dizaines, voir des centaines d’heures de travail fastidieux.
Voici un point rapide sur les nouvelles obligations de déclaration : déclaration au registre interne (2), déclaration au registre sous-traitant (3), autant qu’un rappel rapide de l’ancien régime des déclarations CNIL (1).
1. L’ancienne déclaration CNIL (aboli)
L’ancien régime de la déclaration CNIL était mixe :
- par défaut les traitements devaient être déclarés
- a l’exception de certains traitements standards (type site web)
- d’autres traitements pouvaient faire l’objet d’une déclaration de conformité à une norme simplifiée
- les traitements à risque devaient faire l’objet d’une autorisation (avec un délai moyen d’attente : 3 ans…)
- sauf procédure d’autorisation simplifiée…
Ce régime a totalement changé - ce qui est positif au regard des délais lorsque le traitement était sujet à autorisation - pour laisser place au registre interne.
2. La nouvelle déclaration au registre (régime actuel obligatoire)
Au total le RGPD impose de tenir 3 registres :
- le registre des traitements (art. 30.1)
- le registre des activités de sous-traitances (art. 30.2)
- et accessoirement, le registre des violation de données à caractère personnel (art. 33)
Mais seul les deux premiers registres intéressent le recensement des traitements de données personnelles.
Les informations à porter au registre sont les suivantes pour chaque traitement (voir ici pour un exemple de registre rempli):
- a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
- b) les finalités du traitement;
- c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;
- d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
- e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de f) l’existence de garanties appropriées;
- f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;
- g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
Parmi les nombreux paradoxes du RGPD, on remarquera que l’article 30.5 exclut au premier abord les petites entreprises de la tenue de ce registre :
- “Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.”
Toutefois, en réalité, cette exception doit être ignorée et les TPE/PME devront s’astreindre à s’assurer de mettre en place ce registre en raison de l’article 24 du règlement qui impose aux organisations de s’assurer que tous les traitements sont bien mis en oeuvre conformément à la loi - ce qui implique évidemment de les recenser - donc de tenir le registre ; voici l’article 24 :
- le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.
3. Le registre sous-traitant
Si l’entreprise a une activité de sous-traitance RGPD - et qu’elle manipule des données personnelles pour le compte de ses clients, elle devra alors tenir à jour un registre sous-traitants dont la fonction est de recenser toutes les activités de traitement pour le compte de tiers. Ce registre devra contenir l’ensemble des informations suivantes :
- a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données;
- b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;
- c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées;
- d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
Encore une fois, la documentation au registre est assez fastidieuse et il est préférable d’utiliser un logiciel qui permet d’ automatiser ce type de tâches, plutôt que de mener ces actions à la main.