Le registre RGPD, qu’est-ce que c’est ?

registre RGPD

Le registre RGPD, qu’est-ce que c’est ?

Le Règlement Général sur la Protection des Données (RGPD), dont l’entrée en vigueur date de 2018, impose à tout type de structure la tenue d’un registre concernant les données. Pour vous aider à mieux cerner l’importance de ce document et vous y conformer, nous l’abordons en 5 points : sa signification, son intérêt, son contenu, le processus de création et les risques encourus en cas de problème de conformité au RGPD.

Qu’est-ce qu’un registre RGPD ?

Le registre RGPD, aussi appelé registre de traitements des données, est un document imposé par la réglementation du RGPD à tout organisme du secteur public ou privé. Dès lors que celui-ci collecte et stocke des données personnelles, il a l’obligation de tenir un registre des traitements. Il s’agit d’un outil qui rend compte fidèlement du mode de collecte et de conservation des données personnelles. Le registre RGPD renseigne avec transparence sur l’utilisation qui est faite des données par la structure ou l’organisme qui les détient.

La tenue d’un traitement des données est obligatoire pour les entreprises de plus de 250 salariés. Celles qui emploient moins de 250 personnes sont aussi concernées par la tenue de registres, mais elles bénéficient d’une dérogation.

Les services de sous-traitance (les organismes qui sont engagés par un autre organisme pour le traitement des données personnelles) ont aussi l’obligation de se conformer aux exigences du RGPD. Il peut s’agir d’une agence marketing, d’une agence de communication, d’une agence de voyages ou d’une prestation de services informatiques.

À quoi sert un registre RGPD ?

Le registre de traitement des données présente des avantages sur plusieurs plans. Il montre en premier lieu que votre entreprise respecte l’obligation prévue par l’article 30 du RGPD.

Lors des contrôles effectués par la Commission Nationale de l’Informatique et des Libertés (CNIL), le registre de traitement des données servira à prouver la conformité de votre organisme en matière de traitement des données personnelles. Votre clientèle aura également davantage confiance en vous. En cas de manquement à cette obligation, la CNIL peut vous exiger que vous fassiez le nécessaire et même vous sanctionner.

Sur le plan organisationnel, le registre RGPD vous permet de vérifier que les données personnelles et les données sensibles RGPD que votre entreprise détient et traite bénéficient d’un niveau de sécurité optimal. Il facilite le recensement et l’analyse de toutes les informations personnelles stockées par votre entreprise.

La tenue du registre RGPD vous permet de connaître l’ensemble des acteurs impliqués dans le traitement des données personnelles. On peut citer entre autres acteurs les coresponsables, les sous-traitants, les représentants, etc.

De plus, avec ce document, vous pouvez facilement catégoriser les données que votre structure traite et trouver des réponses précises aux questions suivantes :

  • Quel usage faites-vous de ces données ?
  • Qui sont les personnes qui peuvent les consulter ?
  • Quelle est la durée de conservation de ces données ?
  • De quelle manière sont-elles sécurisées ?

La réponse à ces préoccupations vous sera d’une aide précieuse dans la documentation du traitement des données. Vous identifierez d’éventuelles failles dans la protection des données personnelles. Vous saurez également si toutes les données que vous détenez sont indispensables pour vos activités.

Que contient un registre RGPD ?

La CNIL recommande la tenue de deux registres principaux auxquels s’ajoute un troisième. Le premier registre sera exclusivement dédié aux traitements de données personnelles dont votre organisation est responsable. Le deuxième registre sera consacré aux traitements que vous réalisez en tant que sous-traitant, pour le compte d’une tierce entité. Le dernier registre concerne la notification de cas de violation des données personnelles.

Le registre du responsable de traitement

Le registre du responsable de traitement renseigne sur l’ensemble des traitements de données personnelles réalisés par votre société. Vous aurez à établir une fiche de registre pour chaque activité de traitement. Sur cette fiche figureront à minima les renseignements suivants.

Le nom et les coordonnées de votre société de même que ceux de votre représentant si votre entreprise se trouve en dehors de l’Union européenne doivent être mentionnés. Si vous avez un délégué à la protection des données, son identité et ses coordonnées doivent être inscrites.

Ensuite, vous devez inscrire l’objectif que vise votre entreprise en collectant les données et les catégories de personnes (salarié, client, prospect, etc.) concernées par la manipulation des données.

De plus, le registre doit comporter la liste des catégories de données personnelles : identité, données renseignant sur la localisation, données bancaires, situation familiale, etc., dont traite votre entreprise.

De même, une liste des catégories de destinataires (sous-traitants y compris) qui ont ou auront accès aux données personnelles doit être fournie dans le registre.

Si votre société effectue des transferts d’informations à caractère personnel vers un autre pays ou une organisation internationale, vous aurez à les mentionner ainsi que les garanties qui les régissent.

Par ailleurs, il est nécessaire d’indiquer clairement la durée de conservation des données ou à défaut de mentionner les critères sur lesquels se base votre organisation pour la déterminer.

En outre, il doit figurer dans le registre une description globale des mesures de sécurité mises en œuvre par l’organisme qui traite les données personnelles.

registre rgpd

Le registre du sous-traitant

Le registre du sous-traitant doit comporter l’ensemble des catégories d’activités de traitement des données réalisées par votre entreprise pour le compte de sa clientèle. Ces catégories peuvent être entre autres l’hébergement de données, le service d’envoi des messages à visée commerciale, la maintenance informatique. Idéalement, vous devez tenir une fiche de registre pour chaque activité.

Chaque fiche de registre doit renseigner à minima sur :

  • L’identité et les coordonnées de chaque client qui commande le traitement de données à caractère personnel.
  • Le nom et les coordonnées des représentants du client, s’il y en a.
  • L’identité des sous-traitants qui sont intervenus sur votre invitation dans le cadre de cette activité.
  • L’ensemble des catégories de traitements de données concernées pour le compte de chaque client.
  • Les envois de données personnelles vers un pays autre que celui dans lequel est implantée votre société.
  • Les garanties mises en place dans le cadre des transferts de données vers un pays tiers.
  • Les mesures de sécurité mises en œuvre pour la protection des données, dans la mesure du possible.

Le registre des violations de données personnelles

D’après l’article 4.12 du RGPD, une violation de données personnelles est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. ».

Le registre des violations de données recense l’ensemble des faits en rapport avec les atteintes aux données à caractère personnel. À minima, ce registre doit notifier la nature de la violation ainsi que les conséquences que celle-ci peut engendrer. Il doit en plus contenir les catégories de personnes de même que les catégories de fichiers concernés et une estimation approximative de leur nombre.

Le registre de violation doit contenir une description générale des mesures mises en œuvre pour corriger la violation ou réduire ses effets négatifs. Si votre société n’a pas notifié la violation auprès de la CNIL ou des personnes concernées, alors le registre doit contenir la justification de cette absence de notification.

Quid des organismes de moins de 250 personnes ?

Pour les entreprises de moins de 250 personnes, les informations que comportera le registre de traitement ne sont pas les mêmes. Les structures qui se trouvent dans cette catégorie bénéficient d’une dérogation. Elles ne doivent mentionner que les traitements de données non occasionnels comme la gestion de la paie, des clients et des fournisseurs.

Les entreprises de moins de 250 employés inscriront nécessairement au registre l’ensemble des traitements qui pourraient porter atteinte aux droits et libertés des citoyens. Pour illustrer cela, on peut citer les traitements tels que le système de géolocalisation et le système de vidéosurveillance. Les manipulations des données sensibles, à savoir les données relatives à la santé, aux infractions, etc., doivent être recensées dans un registre de traitement.

Comment créer un registre RGPD ?

Trois étapes importantes conduisent à la création d’un registre des activités de traitement. Il s’agit tout d’abord de faire un audit, puis de recenser l’ensemble des activités de votre organisme et enfin de documenter le fichier suivant les recommandations de l’article 30 du RGPD.

La réalisation d’un audit RGPD

Il est important de réaliser un audit RGPD avant de penser à l’élaboration d’un plan d’action. Il vous permet d’évaluer la situation actuelle de votre organisation en matière de conformité à la réglementation RGPD. Une fois un état des lieux effectué, vous pouvez maintenant élaborer un plan d’action optimal qui tient compte de vos besoins et moyens.

En dehors de ces avantages, l’audit de mise en conformité RGPD rehausse l’image de votre entreprise. Elle sera vue comme une organisation qui respecte la loi, qui fait l’effort de s’y conformer. Cela améliore sa réputation. Si vous le désirez, pour en savoir plus sur les audits RGPD, vous pouvez consulter le site de la CNIL ou autre site spécialisé.

Le recensement des activités de traitement

Voici une liste d’activités de traitements que vous aurez à recenser :

  • Les activités de traitements relatives au marketing.
  • Les activités de traitement en rapport avec les opérations commerciales.
  • Les activités de traitement concernant les ressources humaines (RH).

Pour les activités de traitement liées au marketing, vous aurez à relever : la prospection, le site web de votre société, les newsletters. Elles intègrent aussi la collecte des cartes de visite dans le cadre de l’organisation de petits déjeuners pour présenter des produits, etc.

Les opérations commerciales regroupent la vente des biens et services de la société, les factures, la comptabilité, la gestion des devis…

En ce qui concerne les activités de traitements relatives aux RH, elles comportent la gestion des paies, les avancements et les déclarations sociales obligatoires du personnel. Elles comprennent également les opérations qui nécessitent la constitution d’une base de CV comme le recrutement ou la formation par exemple.

La documentation de chaque fiche registre

Les informations qui doivent figurer au registre de chaque fiche sont détaillées dans la réglementation RGPD. En pratique, documenter les activités de traitement des données personnelles d’une entreprise revient à fournir pour chaque fiche les informations relatives aux registres du responsable et du sous-traitant. C’est la partie la plus importante et la plus laborieuse dans le processus de création d’un registre RGPD.

Si vous faites le choix de réaliser la documentation des traitements à la main, vous aurez à consacrer entre 24 et 48 heures de travail au minimum. Cependant, vous pouvez opter pour un logiciel de gestion du registre RGPD pour vous simplifier la tâche. Cet outil vous permettra de gagner du temps et d’avoir un registre optimisé. Vous aurez à votre disposition plusieurs traitements standards et prédocumentés. Il suffit de les importer en quelques clics et de les adapter à vos besoins.

règlement général sur la protection des données

En cas de non-conformité RGPD, quels sont les risques ?

Tenir un registre est obligatoire pour tout organisme qui collecte et stocke des données personnelles. Si une entreprise ne respecte pas cette obligation, les sanctions prévues à cet effet lui seront appliquées.

Comme nous l’avons déjà mentionné, la CNIL peut vérifier le registre RGPD des entreprises. En cas de manquement, des mesures coercitives sont prises pour amener l’entreprise responsable à se conformer. Ces dispositions vont du simple avertissement à une mise en demeure de l’organisation qui est concernée. Selon le degré de gravité du manquement, l’avertissement peut être converti en amende suivie d’une suspension du service qui traite les données personnelles.

Si la société fautive refuse de réguler sa situation ou s’il s’agit d’un manquement très grave, une amende administrative peut lui être imposée. La CNIL peut, conformément aux conditions mentionnées dans l’article 83 du RGPD, fixer le montant de l’amende et l’imposer à l’entreprise responsable.

Si une amende administrative n’est pas appropriée pour réprimander la violation commise, des sanctions pénales plus lourdes peuvent être appliquées. Celles-ci peuvent aller d’une pénalité de 3000 euros à une peine de 5 ans d’emprisonnement.

Le citoyen victime d’un mauvais traitement des données peut lancer des poursuites pénales. Dans ce cas, s’il est prouvé que l’organisation concernée n’a pas respecté ses obligations en matière de traitements des données (par exemple : non respect du droit à la limitation du traitement), elle devra dédommager le plaignant. Au-delà de ces sanctions, l’entreprise perdra sa réputation et par conséquent son chiffre d’affaires peut chuter considérablement.

La tenue d’un registre RGPD est loin d’être un fardeau, elle représente une occasion pour chaque structure d’affiner son mécanisme de traitement des données personnelles. C’est un outil qui montre les failles dans l’usage que vous faites des données que vous traitez pour vous aider à mieux protéger vos clients. Si votre entreprise ne s’est pas encore conformée à cette obligation, faites-le le plus tôt possible pour préserver votre réputation et éviter de lourdes sanctions.