RGPD : comprendre le registre des traitements

Pour comprendre l’importance du registre, il faut revenir…40 ans en arrière. En 1978, la Loi Informatique et Libertés impose aux organisations d’être transparentes sur l’exploitation qu’elles font des données personnelles des individus. L’autorité de contrôle, la CNIL, a été créée cette même année afin d’accompagner, contrôler et sanctionner les organisations sur ce sujet. Mais dans les faits, la CNIL a peu sanctionné et peu d’entreprises ont initié une démarche de conformité.

Celles qui l’avaient fait se reposaient sur un système déclaratif relativement confortable : elles déclaraient (succinctement) leurs traitements de données à caractère personnel à la CNIL, attendaient un éventuel contrôle (qui effectuait un audit précis qu’elles auraient dû faire en amont) et investissaient beaucoup de temps et d’argent pendant les deux mois que la CNIL leur donnait pour se mettre en conformité.

Le RGPD supprime ce système déclaratif des traitements auprès de la CNIL et passe à un système d’auto-évaluation de la conformité : les organisations doivent être en mesure de démontrer leur conformité à tout moment, et comment elles comptent améliorer leur conformité dans le temps. Elles doivent être prêtes à s’expliquer en cas de contrôle et auprès de toutes les parties prenantes de leur écosystème. C’est là que le registre entre en jeu : clé de voûte de la démarche de conformité, il contient tous les éléments relatifs aux traitements de données à caractère personnel mis en place par l’organisation.

Le registre est constitué de l’ensemble des fiches de traitement d’une organisation. Cette fiche, c’est le cœur du registre. L’article 30 du RGPD indique clairement les éléments qu’elle doit contenir : pour produire le registre, il suffit donc en théorie de répondre aux obligations de l’article 30. Mais si elle est avant tout déclarative, la fiche de traitement oblige à la production de quelques explications quant à la sécurité des données exploitées dans le traitement et la preuve de ses explications. Dans la pratique, une fiche de traitement nécessite donc au préalable d’avoir :

 

> Identifié les traitements de données à caractère personnel mis en place par son organisation

> D’en connaitre parfaitement les fonctionnements afin de pouvoir encadrer juridiquement et en termes de sécurité tous les points qui pourraient constituer des non-conformités.

Le registre n’est toutefois pas un gage de conformité – à moins bien sûr que chacun de vos traitements ne soit 100% conforme à l’ensemble des obligations du RGPD, et que votre organisation ne soit gouvernée par une gestion responsable des données personnelles ! Dans le cas contraire et avant toute chose, le registre est l’élément clé permettant de démontrer votre démarche de conformité.

 

Et les contrôles ?

Avec le RGPD, la CNIL n’est plus dans l’obligation de faire des mises en demeure et peut sanctionner immédiatement les manquements à la conformité. La CNIL va auditer (ou faire auditer par des organisations agréées) les preuves attachées au registre des traitements et poser immédiatement des sanctions car elle n’est plus dans l’obligation de mettre des mises en demeure.

La CNIL a vu très largement augmenté son pouvoir de sanctions tant en termes d’impact financier que d’impact de notoriété. Il faut ajouter à cela la plainte collective assortie de demande de dommages et intérêts qui est un risque majeur encore faible mais qui peut s’avérer dévastateur pour l’organisation.

La CNIL a récemment précisé que la production d’un registre et d’un plan de mise en conformité était clairement le signe d’une intention réelle de prendre la protection de la vie privée au sérieux.

Nous vous accompagnons dans cette production avec le Pack Registre car nous savons quelles sont les questions que vous allez devoir vous poser et comment vous aider à y répondre au plus vite. Notre méthodologie s’appuie sur une expertise et une connaissance du métier de CIL et de DPO pour faciliter le pilotage de la conformité au regard du respect des principes et obligations su RGPD.