Javascript is required
logo-dastralogo-dastra

Créer un registre des traitements : les 12 étapes

Créer un registre des traitements : les 12 étapes
Marine Boquien
Marine Boquien
26 novembre 2024·8 minutes de lecture

La création d’un registre des traitements est essentielle pour garantir la conformité au RGPD et aux règles de protection des données personnelles.

Qu’est-ce que le registre de traitements ?

Le registre, prévu par l’article 30 du RGPD, constitue un élément clé de la documentation de la conformité.

Ce document de recensement et d’analyse doit refléter fidèlement l’ensemble des traitements de données personnelles réalisés au sein de votre organisme. Il permet d’identifier avec précision :

  • Les acteurs impliqués : représentant, sous-traitants, responsable du traitement, responsables des traitements, co-responsables, etc.
  • Les catégories de données traitées, y compris les données sensibles.
  • Les finalités des traitements : utilisation, accès et communication éventuelle à des tiers.
  • Les catégories de destinataires et, le cas échéant, les transferts des données vers une organisation internationale ou hors de l’Union européenne.
  • La durée de conservation des données.
  • Les mesures de sécurité mises en place pour protéger les données.

Au-delà de l’exigence légale de l’article 30, le registre des activités de traitement est un véritable outil de pilotage et de démonstration de votre conformité au RGPD. Il vous aide à documenter vos activités de traitement et à évaluer leur pertinence :

Ai-je réellement besoin de cette donnée pour ce traitement ?

Est-il justifié de conserver ces données aussi longtemps ?

Les mesures de sécurité sont-elles suffisantes ?

La création et la mise à jour régulièrement du registre offrent une occasion unique d’évaluer et de prioriser les risques liés à vos traitements. Cette démarche permet d’élaborer un plan d’action concret pour assurer la mise en conformité de vos pratiques.

Qui est concerné par la création d’un registre ?

L’obligation de tenir un registre des traitements s’applique à tous les organismes, qu’ils soient publics ou privés, dès qu’ils effectuent des traitements de données personnelles.

Exception : Les entreprises de moins de 250 salariés bénéficient d’une dérogation. Elles doivent toutefois documenter :

  • Les traitements réguliers ou récurrents (gestion de la paie, clients, prospects, fournisseurs).
  • Les traitements présentant un risque potentiel pour les droits et libertés des personnes.
  • Les traitements portant sur des données sensibles (santé, infractions, etc.).

Quelle forme doit prendre le registre ?

Le registre doit se présenter sous une forme écrite, sur support papier ou électronique.

Qui doit tenir le registre ?

Le registre des traitements doit être tenu par le responsable du traitement ou, le cas échéant, par ses sous-traitants. Cela leur permet d’avoir une vision globale de l’ensemble des activités de traitement de données personnelles réalisées au sein de l’organisation.

Une personne désignée au sein de l’organisme peut être spécifiquement chargée de la tenue et de la mise à jour régulière du registre. Si un délégué à la protection des données (DPD ou DPO), interne ou externe, a été nommé, il peut également assumer cette responsabilité.

Le registre devient alors un outil central pour le DPO, facilitant l’exercice de ses missions de contrôle du respect du RGPD, d’information et de conseil auprès du responsable du traitement ou du sous-traitant.

À quelle fréquence faut-il mettre à jour le registre ?

Le registre des traitements doit être mis à jour régulièrement afin de refléter les évolutions fonctionnelles et techniques des activités de traitement de données personnelles.

Concrètement, toute modification concernant un traitement inscrit au registre — par exemple, l’ajout d’une nouvelle donnée collectée, l’allongement de la durée de conservation, l’apparition d’un nouveau destinataire, ou tout autre changement dans les conditions de traitement — doit être immédiatement consignée dans le registre.

Faire son registre des traitements : les étapes

Voici les principales étapes à suivre pour créer un registre des activités de traitement :

  1. Désigner un pilote pour la constitution du registre.
  2. Adopter un organigramme de l’organisation.
  3. Définir une procédure de constitution du registre.
  4. Mener des entretiens avec les métiers.
  5. Identifier les activités de traitement.
  6. Identifier les parties prenantes.
  7. Identifier les finalités de chaque traitement.
  8. Identifier les données traitées (y compris les données sensibles).
  9. Identifier les catégories de personnes concernées.
  10. Identifier les catégories de destinataires et les transferts de données, le cas échéant, vers une organisation internationale.
  11. Identifier les mesures de sécurité mises en place.
  12. Identifier le besoin d’une analyse d’impact (PIA).

L’ensemble de ces traitements mis en place doit être documenté dans un registre clair et structuré, indiquant le nom et les coordonnées du responsable du traitement et, le cas échéant, du délégué à la protection des données (DPO).

Que doit contenir le registre des traitements ?

Le registre des traitements doit contenir plusieurs informations essentielles pour garantir la transparence et la conformité :

  • Le nom et les coordonnées du responsable du traitement (RT), ainsi que, le cas échéant, celles du représentant si l’entreprise n’est pas établie dans l’Union européenne.
  • L’identité du délégué à la protection des données (DPO), si l’entreprise en dispose.
  • Les responsables des services opérationnels impliqués dans les traitements de données personnelles au sein de l’entreprise.
  • La liste des sous-traitants (ST) qui participent aux traitements.

Pour chaque activité ou traitement recensé, le RT doit créer une fiche dans le registre incluant :

  • Les catégories de données collectées et traitées, telles que nom, prénom, date de naissance, salaire, etc., incluant les données sensibles.
  • La ou les finalités du traitement de données personnelles.
  • Le fondement juridique du traitement, qui justifie sa licéité.
  • Le lieu d’hébergement des données et, le cas échéant, les pays vers lesquels les données sont transférées, y compris vers une organisation internationale.
  • Les destinataires des données, y compris ceux situés dans des pays tiers, tels que le service recrutement, le service informatique, la direction, les prestataires ou partenaires.
  • La durée de conservation pour chaque catégorie de données.
  • Les mesures de sécurité mises en œuvre pour limiter les risques d’accès non autorisé aux données.

Qu’est-ce que le fondement juridique du traitement ?

Un traitement de données personnelles n’est licite que si l’une des conditions suivantes est remplie :

  1. La personne concernée a consenti au traitement de ses données pour une ou plusieurs finalités spécifiques.
  • Le consentement doit être une manifestation de volonté libre, spécifique, éclairée et univoque, exprimée par une déclaration ou un acte positif clair.
  1. Le traitement est nécessaire à l’exécution d’un contrat.
  2. Le traitement est nécessaire au respect d’une obligation légale du responsable du traitement.
  3. Le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ou d’une autre personne physique.
  4. Le traitement est nécessaire à l’exécution d’une mission d’intérêt public.
  5. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement, sauf si ces intérêts sont supplantés par les droits et libertés fondamentaux de la personne concernée.

Quels intérêts pour l’entreprise de tenir à jour le registre ?

La tenue d’un registre des activités de traitement apporte plusieurs bénéfices clés à l’entreprise :

  • Minimisation des données : ne collecter que les informations pertinentes, adéquates et limitées à ce qui est nécessaire par rapport aux finalités du traitement.
  • Gestion des risques liés aux données sensibles : identifier les traitements de données sensibles et vérifier que leur traitement est légal et sécurisé.
  • Contrôle des accès : garantir que seules les personnes habilitées ont accès aux données dont elles ont besoin.
  • Gestion des prestataires : recenser et actualiser les clauses de confidentialité des sous-traitants (ST) impliqués dans les traitements.
  • Mise en œuvre de mesures de sécurité adaptées : organisationnelles et techniques pour protéger les données et démontrer la conformité des traitements mis en place.

Ainsi, le registre permet à l’entreprise de documenter sa conformité, de sécuriser ses processus et de se protéger en cas de contrôle ou d’audit.

À qui communiquer le registre des traitements ?

Le registre des traitements est un document interne, placé sous la responsabilité du responsable du traitement.

Toutefois, il doit pouvoir être communiqué à la CNIL lorsqu’elle le demande.

La CNIL peut l’utiliser dans le cadre de ses missions de contrôle et d’audit des traitements de données personnelles, afin de vérifier que les mesures de sécurité, les transferts de données et l’ensemble des activités de traitement respectent les obligations imposées par le RGPD.

Vous recherchez un outil pour réaliser votre registre des traitements, essayez Dastra !

Recevez votre document par mail

Ces informations nous sont utiles pour répondre à votre demande. Nous pourrons de temps en temps vous partager du contenu relatif à Dastra. Pour en savoir plus et exercer vos droits sur vos données, vous pouvez consulter notre politique de confidentialité.

A propos de l'auteur
Marine Boquien
Marine Boquien
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.