Accueil Démat-Ged RGPD et registre des traitements : la CNIL montre l’exemple

RGPD et registre des traitements : la CNIL montre l’exemple

« Dans un souci de transparence et de pédagogie », la Cnil rend public son registre des activités de traitement, vient-elle d’annoncer.

Le registre des activités de traitement est prévu par l’article 30 du RGPD. Il constitue un élément essentiel de la documentation nécessaire au pilotage et à la démonstration de la conformité au RGPD, règlement européen sur la protection des données personnelles, des entreprises et autres organisations.

Le registre de la CNIL contient lui :

  • l’identification de la présidente de la CNIL et du délégué à la protection des données 
  • la désignation (liste) des activités de traitement, telles que la gestion des demandes de conseil, la gestion des plaintes ou encore la gestion de la lettre d’information de la CNIL 

  • une fiche de registre par activité de traitement, soit 54 fiches 

Chaque fiche comporte les informations obligatoires prévues par l’article 30 du RGPD :

  • la désignation de l’activité de traitement ;
  • l’identification du responsable de traitement (la CNIL), ses coordonnées et celles de son délégué à la protection des données (DPD/DPO) ;
  • les finalités (objectifs du traitement de données) ;
    les catégories de personnes concernées (acteurs internes ou externes, professionnels ou particuliers) ;
  • les catégories de données traitées (comme l’identité, les coordonnées, les informations de connexion ou les données sensibles) ;
  • les catégories de destinataires des données (services de la CNIL, tiers) ;
  • l’existence de transferts de données en dehors de l’Union européenne ;
    dans la mesure du possible, la durée de conservation des données ;
  • une description générale des mesures de sécurité prises.

La CNIL ajoute qu’elle a intégré dans son registre, « bien que cela ne soit pas rendu obligatoire par l’article 30 du RGPD« , des informations utiles au pilotage des traitements sous sa responsabilité et à l’information des personnes concernées. Ces informations complémentaires sont visées par les articles 13, 14 et 15 du RGPD, précise la Cnil. On y trouve : 

  • la ou les base(s) légale(s) (ou base juridique) du traitement ;
  • la source des données ;
  • le caractère obligatoire ou facultatif du recueil des données et les conséquences en cas de non-fourniture des données ;
  • l’existence d’une prise de décision automatisée ;
  • les droits RGPD des personnes sur le traitement concerné et les moyens de les exercer auprès du délégué à la protection des données (en ligne ou par courrier) ;
  • le droit à un recours auprès de la CNIL.

« Sont ainsi réunis l’ensemble des éléments utiles à l’information des personnes concernées par les traitements qu’elle met en œuvre. Ces éléments sont en effet repris pour les mentions RGPD portées au niveau des téléservices ou en interne (gestion des ressources humaines, gestion des fournitures, gestion du support informatique, etc.). » L’organisme souligne que ce resgitre « n’est pas prescriptif« , et que selon l’activité des entreprises ou des organisations, « le registre ne comprendra pas les mêmes éléments« , ni le même format.