Les obligations mises à la charge des entreprises par le RGPD : la tenue d’un registre
Pierre angulaire du RGPD qui entrera en vigueur le 25 mai 2018, la tenue d’un registre des traitements de données, qui doit prouver la conformité de l’entreprise aux prescriptions du règlement. Sa rédaction et sa tenue ne doivent pas être laissées au hasard. Tour d’horizon des bonnes pratiques à mettre en place dès aujourd’hui pour la tenue du registre des traitements.
Qui est visé par l’obligation du RGPD de tenir un registre des traitements ?
La réponse se trouve dans l’article 30 du RGPD : toutes les administrations et les entreprises de plus de 250 salariés sont dans l’obligation de tenir un registre des traitements, qui doit être toujours complet et à jour, au cas où la CNIL procéderait à un contrôle inopiné.
Cependant, cette catégorie de structures n’est pas la seule concernée par l’obligation de tenir un registre, puisque les entreprises qui manipulent, de manière fréquente ou ponctuelle, des données à caractère sensible (faisant par exemple apparaître l’orientation sexuelle ou religieuse ou les opinions politiques des personnes), y sont elles aussi soumises.
Sont également visées par l’obligation de tenir un registre de traitement les entreprises qui recueillent et stockent des données concernant une catégorie de personnes en particulier, comme les salariés ou les condamnés à des peine de prison.
D’après le RGPD, les sous-traitants doivent-ils tenir un registre de traitement ?
Absolument et c’est l’une des grandes innovations apportées par le RGPD, les sous-traitants qui manipulent des données personnelles sont eux aussi obligés de tenir un registre des traitements, ce qui a également une conséquence sur leur responsabilité. Le sous-traitant qui ne respecte pas l’obligation édictée par le RGPD pourra être directement sanctionné par la CNIL, contrairement à ce qui était en vigueur sous l’égide de la loi Informatiques et Liberté de 1978, c’est-à-dire une simple responsabilité contractuelle. La CNIL peut également demander à n’importe quel moment au sous-traitant de prouver que le registre est à jour et complet.
Que doit contenir le registre des traitements ?
Le registre des traitements, qui relève des attributions des DPO (Data Protection Officer) ou DPD (Délégué à la Protection des Données), doit contenir des informations dont la nature est expliquée par le RGDP. Doivent y figurer :
- Les coordonnées du responsable du traitement des données à caractère personnelles
- Celles des gestionnaires des données
- Les finalités et objectifs de ce traitement (fins commerciales ou non, gestion du personnel, démarchage éventuel, etc.)
- Les catégories des personnes faisant l’objet du traitement (clients, salariés…)
- La possibilité de transférer les données et leur parcours, notamment si elles sont acheminées vers des pays ne relevant pas de la législation communautaire
- Le délai avant la destruction des données à caractère personnel
- La description des moyens mis en œuvre pour la sécurisation des données et éviter que celles-ci ne puissent être dérobées par des tiers
Le registre de traitements des données, la responsabilisation des entreprises
Auparavant, sous la loi Informatique et Liberté de 1978, les entreprises étaient soumises à l’obligation de déclarer à la CNIL tout traitement de données à caractère sensible. Après l’entrée en vigueur du RGPD le 25 mai 2018, cette obligation n’existera plus, demeure la charge imposée aux entreprises de prouver à n’importe quel moment leur conformité avec la loi grâce au registre de traitements. C’est le principe de responsabilisation des entreprises. En pratique, les informations à mentionner sur le registre restent les mêmes que celles demandées dans le cadre de l’obligation déclarative.
Quelles sont les sanctions encourues par les entreprises en cas de non-respect de l’obligation de tenir un registre des traitements ?
Plusieurs sanctions peuvent être envisagées à l’encontre des entreprises ou des organismes publics qui ne se soumettent pas à l’obligation de tenir un registre des traitements. L’autorité de régulation et de contrôle, à savoir la CNIL, peut par exemple imposer aux structures l’effacement de données, ou de réduire le champ d’investigation du traitement.
Elle peut également prononcer une amende qui peut monter jusqu’à 10 millions d’euros, ou à 2% du chiffres d’affaires annuel pour les entreprises, le montant le plus important sera celui retenu.