Moi DPO (4/4) : la constitution du registre des activités de traitement

Écrit par le , Modifié le

registre des activités de traitement

Registre des activités de traitement : de quoi s’agit-il ?

Le registre des activités de traitement parfois appelé registre RGPD recense l’ensemble des traitements de données à caractère personnel de l’entreprise. Il doit refléter la réalité des traitements réalisés. Il s’agit d’un outil de pilotage de la conformité de l’entreprise qui vient documenter les différents traitements effectués au sein de l’entreprise. Il permet au DPO ou, le cas échéant, au responsable du traitement, d’avoir une vision d’ensemble et de s’interroger sur la légitimité des traitements mis en œuvre.

Quelles sont les entreprises concernées par le registre des activités de traitement ?

L’article 30 du RGPD impose à tout responsable de traitement et sous-traitant de tenir à jour un registre des activités de traitement. Cela vaut pour les organismes publics et privés traitant des données à caractère personnel.

Cette obligation incombe à :

– toute entité de plus de 250 employés

– une entité quel que soit le nombre de salariés dès lors qu’elle procède à un ou plusieurs traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées

– une entité quel que soit le nombre de salariés lorsque les traitements effectués ne sont pas occasionnels

– une entité quel que soit le nombre de salariés lorsque les traitements réalisés portent sur des données identifiées comme sensibles par l’article 9 du RGPD ou que ce sont des données relatives à des condamnations pénales ou infractions précisées par l’article 10 du RGPD.

Quid des entreprises de moins de 250 employés ?

Les entreprises de moins de 250 salariés doivent tout de même tenir un registre simplifié comprenant :

– les traitements dits non occasionnels (par exemple la gestion de la paie des salariés)

– les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (par exemple le traitement de données issues d’un système de géolocalisation)

– les traitements de données sensibles (par exemple les données de santé)

À titre d’exemple un traitement occasionnel est un traitement issu d’une campagne de communication ponctuelle. En cas de doute sur le caractère occasionnel, il est conseillé d’inscrire le traitement au registre.

Quelles informations doivent être incluses dans le registre de traitement ?

Le responsable de traitement comme le sous-traitant doivent tenir un registre des activités de traitement comprenant des mentions obligatoires distinctes. Cela implique que la majorité des entreprises tiennent distinctement un registre de responsable de traitement et un registre de sous-traitant.

Le registre du responsable de traitement

Le registre de traitement du responsable de traitement doit inclure les informations suivantes :

– le nom et les coordonnées du responsable de traitement

– les finalités du traitement de données

– les catégories de personnes concernées et de données à caractère personnel traitées

– les catégories de destinataires des données personnelles

– les éventuels transferts de données à caractère personnel vers un pays tiers ou une organisation internationale ainsi que les documents faisant état de garanties appropriées pour procéder à ce transfert

– les délais d’effacement retenus pour les différentes catégories de données traitées

– la description générale des mesures de sécurité techniques et organisationnelles mises en œuvre

Le registre du sous-traitant

Le sous-traitant ou représentant du sous-traitant des données personnelles pour le compte d’un autre organisme doit également tenir un registre de traitement comprenant les informations relatives :

– au nom et aux coordonnées du ou des sous-traitants (ou le cas échéant des responsables de ces sous-traitants ou des DPO de ces sous-traitant) de chaque responsable de traitement pour le compte duquel le sous-traitant agit

– aux catégories de traitement réalisés pour le compte du responsable de traitement

Le sous-traitant peut être à titre d’exemple un prestataire informatique, un prestataire de gestion de la paie ou encore une agence de communication.

Qui est chargé de tenir ce registre ?

L’obligation incombe de manière générale au responsable de traitement ou au sous-traitant néanmoins cette tâche peut être déléguée en pratique à une personne désignée au sein de l’entité ou au DPO.

En cas de non-respect de ces obligations, le responsable de traitement et le sous-traitant s’exposent à une amende allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial calculé sur l’exercice précédent.

Quel format ?

Le registre doit se présenter sous une forme écrite mais la manière de le constituer est libre, il peut exister en format papier ou électronique. En dehors de ces règles, il revient au responsable de traitement ou au sous-traitant de choisir la manière de présenter les informations au sein du registre.

La Commission propose, à cet effet, un modèle de registre simplifié en version .ods à destination des structures de petite taille mais recommande de l’enrichir de mentions complémentaires.

Quels sont les enjeux du registre ?

Tel qu’explicité ci-dessus, la complétude et la mise à jour de ce registre permet à celui qui le tient de s’interroger sur les traitements mis en œuvre et d’identifier de potentiels risques. Il peut notamment se poser les questions suivantes :

– ces données sont-elles nécessaires à l’exercice de cette activité ?

– les données doivent-elles être conservées aussi longtemps ?

– la base juridique du traitement est-elle pertinente et permet-elle aux personnes concernées d’exercer correctement leurs droits ?

– les mesures de sécurité déployées pour tel traitement sont-elles suffisantes ?

Ces interrogations permettent d’identifier de potentiels risques, de déterminer le niveau de gravité de chacun de ces risques et de les hiérarchiser afin de définir un plan d’action de mise en conformité des traitements.

À titre d’exemple, l’identification de traitements dont les données feraient l’objet d’un transfert vers un pays situé en dehors de l’espace économique européen permettront de vérifier a posteriori que des garanties suffisantes sont mises en œuvre quant aux droits et libertés des personnes concernées.

Comment constituer un registre ?

La mission préalable à l’élaboration du registre est le recensement des informations nécessaires à sa constitution ce qui nécessite de rencontrer les responsables opérationnels des divers services. Le site web doit également être audité afin d’identifier les traitements effectués sur cet environnement.

Si les collaborateurs sont sensibilisés à la protection des données personnelles ils seront à même d’identifier les traitements de manière autonome et de donner leurs caractéristiques principales. La transmission d’une documentation à compléter pourra être envisagée dans ce cas afin d’être plus rapide lors des entretiens. Le cas échéant, il faudra prévoir à l’occasion des entretiens un temps de présentation des enjeux du registre et définir les notions clés du RGPD avant d’interroger les collaborateurs sur leurs activités de traitement.

Les entretiens doivent donner lieu à une fiche de traitement par activité, un traitement correspondant à une finalité précise et non à l’utilisation d’un logiciel spécifique car ce logiciel peut être utilisé pour divers traitements.

Une fois que ces informations sur les traitements sont collectées, une liste des traitements par activité doit être dressée selon que le traitement concerne le service des ressources humaines, la logistique, l’accueil etc.

Une fois la majorité des traitements recensés, les volets du registre de traitement peuvent être affinés et précisés afin de fournir un degré de détail plus important.

Le registre peut ensuite être analysé pour déterminer quels sont les risques qui pèsent sur les traitements de données et procéder à l’élaboration d’un plan d’action de mise en conformité des traitements.

La tenue régulière du registre ?

Il n’y a pas de version définitive du registre des activités de traitements. Celui-ci doit être mis à jour régulièrement en tenant compte des nouvelles activités de l’entreprise, du déploiement d’une branche de l’activité, de l’acquisition d’un nouveau logiciel, etc. Les évolutions organisationnelles et techniques doivent être prises en compte et ainsi les caractéristiques du traitement doivent être adaptées concernant : les données traitées, les durées de conservation, les destinataires, etc.

Quels sont les destinataires ?

Au niveau interne, le registre des traitements pourra être consulté par tout collaborateur qui souhaiterait compléter le document en renseignant ses activités de traitement. Cet outil peut également être exploité par le DPO afin d’avoir une vision d’ensemble des traitements et de déterminer un plan d’action quant aux traitements les plus sensibles.

Le registre de traitement constitue un document interne qui peut être transmis à la CNIL sur sa demande, à l’occasion d’un contrôle par exemple. Les organismes privés n’ont aucune obligation de communiquer ce document au public contrairement aux organismes publics qui y sont tenus puisqu’il constitue un document administratif. Les informations susceptibles de porter atteinte aux secrets protégés par la loi et en particulier la sécurité des systèmes d’information ne devront pas figurer dans le document transmis au public.

Retrouvez la série des articles « Moi DPO » :

– articles de Frédéric Le Corre : Moi DPO : Démarrer une mission de délégué à la protection des données personnelles et Moi DPO, les premières actions

– article d’Anne-Sophie Casal : Moi DPO, au centre au réseau

Un article d’Alice Picard (décembre 2022) :

– « Schéma de certification : ce qu’il faut retenir de l’interview de Sébastien Ziegler (Europrivacy) lors du Printemps des DPO« 

Je partage

Derniers articles

Illustration de sécurité WordPress avec logo central et éléments numériques de sécurité

Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur

Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !

Lire l'article

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article