Mise en conformité au RGPD : le registre des traitements le cadre à respecter
Article
- Le registre des traitements est-il obligatoire ?
- Quels sont les objectifs du registre des traitements ?
- Quel est le contenu du registre des traitements ?
Le règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) prévoit la tenue d’un registre des activités de traitements.
Plusieurs questions doivent être posées pour répondre parfaitement à cette sujétion.
Le registre des traitements est-il obligatoire ?
La constitution, puis la tenue d’un registre est une obligation posée par l’article 30 du RGPD, reprise par l’alinéa 2 de l’article 57 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (LIL). Chaque responsable de traitement doit tenir ce registre des activités de traitement effectuées sous sa responsabilité. Cette obligation s’impose à toutes les collectivités territoriales, puisqu’elles traitent des données personnelles de manière régulière dans le cadre de leurs activités. De plus, « le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et libertés des personnes concernées » (article 30-5 du RGPD).
Quels sont les objectifs du registre des traitements ?
Sur la base de cette obligation, la création et la tenue du registre permet indubitablement de recenser, comprendre et maitriser la diversité des données personnelles collectées et traitées par les collectivités territoriales dans la multitude de leur intervention. Cette obligation conduit de manière opérationnelle à se poser un certain nombre de questions (Cf. ce bulletin) et de limiter ainsi les risques afférents au RGPD. Le registre s’avère un outil central de la démarche de conformité au RGPD.
D’autant plus que le RGPD (article 30-4) précise que le registre doit être mis à la disposition de la commission nationale informatique et libertés (CNIL), en tant qu’autorité de contrôle, à sa demande.
Quel est le contenu du registre des traitements ?
L’article 30 du RGPD détaille les informations devant figurer dans le registre des activités de traitement. Il doit permettre d’identifier, sous forme écrite y compris électronique, un certain nombre d’éléments par une vue d’ensemble des traitements opérés.
Les informations devant être présentes dans le registre sont :
- Le nom et les coordonnées du responsable de traitement et du délégué à la protection des données (DPD).
Pour les collectivités territoriales, outre le nom de la collectivité sera mentionné le nom du maire ou du président comme représentant du responsable de traitement.
Les collectivités adhérentes de l’ATD et ayant désigné l’agence comme DPD doivent l’indiquer expressément.
Devra figurer aussi dans le registre, le cas échéant, la désignation du responsable conjoint du traitement. Pour le RGPD, le responsable conjoint détermine, avec le responsable de traitement, les finalités et les moyens du traitement.
- Les finalités du traitement
Il importe tout d’abord d’identifier le traitement par un nom spécifique. Il peut s’agir de la désignation de l’activité ou du but du traitement, comme par exemple la gestion de la paie, la gestion des associations, la sécurisation des locaux. Cette désignation peut permettre de s’insérer dans une catégorie plus globale correspondant notamment à l’organisation interne de la collectivité, à la compatibilité analytique, aux politiques publiques (par exemple : urbanisme, bâtiments, PEDT…).
Afin d’expliciter les finalités, la collectivité territoriale doit indiquer les raisons pour lesquelles le traitement est mis en œuvre, le but qui est poursuivi. Ainsi, la collectivité devra décrire l’objet du traitement de données personnelles et ses fonctionnalités.
- Une description des catégories de personnes concernées
La collectivité doit identifier et lister les catégories de personnes dont les données personnelles sont collectées et utilisées dans le traitement. Il convient que cette liste tende vers l’exhaustivité et indique si des personnes mineures sont concernées.
- Une description des catégories de données à caractère personnel
Il convient de recenser les différentes données collectées se rapportant à une personne physique identifiée ou identifiable et faisant l’objet de traitement par un procédé automatisé ou non (identité, situation familiale, quotient familial, données bancaires…).
- Les catégories de destinataires
Il est pertinent de spécifier les destinataires des données à caractère personnel relevant d’organismes, d’administrations, d’établissements, de collectivités extérieures (par exemple les services du comptable public, de la communauté de communes, de la CAF…), qui seront expressément distingués des directions, services ou personnes ayant accès aux données en interne à la collectivité opérant le traitement. Il faut prendre en compte dans ce recensement des destinataires : le passé, le présent et le futur. L’article 30-1d du RGPD précise en effet que le registre recense « les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ».
- La durée de conservation
Le RGPD prévoit que le registre comporte « dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données » (article 30-1f).
Le responsable de traitement doit indiquer le temps (en jour, mois ou année), pendant lequel il souhaite conserver les données à caractère personnel qu’il a collecté.
Dans l’hypothèse où une durée fixe ne peut être indiquée, la CNIL recommande de préciser des critères permettant de déterminer le délai d’effacement comme 3 ans à compter de la fin contractuelle de la convention ou du marché par exemple.
- Les mesures techniques et organisationnelles de sécurité
Le registre doit comporter une description générale, dans la mesure du possible, des mesures techniques et organisationnelles appropriées mises en œuvre par le responsable de traitement et le sous-traitant pour garantir un niveau de sécurité adapté aux risques soulevés par le traitement, pour préserver la confidentialité des données à caractère personnel.
Plusieurs types de mesures de sécurité peuvent être adoptés :
- des mesures de sécurité logique, comme, par exemple, l’anonymisation, le chiffrement, une politique de sauvegarde, la protection des matériels informatiques sensibles (serveurs, routeurs…), le cloisonnement des données…
- des mesures de sécurité physique, notamment le contrôle d’accès (serrures, alarmes…) aux locaux, aux ordinateurs, aux équipements…, la gestion des documents papier de leur création jusqu’à leur destruction, la protection des canaux ou réseaux informatiques ;
- des mesures organisationnelles, à l’instar de l’adoption d’une politique interne de protection des données au travers d’une charte des usages informatiques, d’actions de sensibilisation et de formation des élus et des agents, de la mise en œuvre d’une supervision du bon fonctionnement de l’activité et du traitement (tableaux de bord, audit…), d’un archivage sécurisé ;
- des mesures prises pour assurer la sécurité des échanges (internet, email, supports numériques…) générés par le traitement, avec des utilisateurs, un hébergeur ou des tiers externes ;
- des mesures prises en vue d’assurer la confidentialité des données lors des opérations de maintenance des logiciels ou des équipements (il peut être mis en place des mesures de traçabilité comme un journal des accès des utilisateurs, l’enregistrement des dates et heures de connexion…).
Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.