Le registre des traitements en détails

 

L’article 30 du RGPD définit ce que doit contenir le registre de l’organisation. Ce registre identifie des points à déclarer pour chaque traitement. Ce registre contient l’ensemble de ces points pour l’ensemble des traitements.

La plupart des acteurs de la conformité qui accompagnent les entreprises depuis longtemps ont déjà modélisé le process qui permet de produire un registre. En effet, cette obligation existe depuis 1978 dans le cadre de la loi Informatique et Libertés.

C’est, pour la plupart du temps, ce qui compose essentiellement les outils qui ont été créés et mis à disposition sous forme de fichiers Excel puis de plateforme pour aider les organisations à prouver de leur conformité.

Des questionnaires sous la forme d’auto-audit ont été créés. Les réponses aux questions posées permettent de répondre à ce qui était demandé dans le registre de la loi Informatique et Libertés. Ces questionnaires ont été mis à jour pour répondre au RGPD qui, lui aussi demande un registre mais avec des éléments supplémentaires. Ce sont les déclarations de traitements.

Déclarer ses traitements via le questionnaire d’audit permet donc de viser l’ensemble des informations qui doivent être transparentes pour un tiers autorisé (y compris la CNIL).

Chez Data Transition, l’outil d’audit sera proposé en freemium et permettra de produire les fiches traitements qui regrouperont de façon claire et lisible toutes ces informations pour les enregistrées dans le registre. Elles représentent le registre et sont la preuve de l’initiation de la démarche de mise en conformité et la preuve de bonne intention que la CNIL mentionne et qui protégera les organisations pour le 25 mai 2018.

Cependant, si depuis 40 ans, il n’était pas utile de faire la preuve d’une gestion responsable des données personnelles en continu, c’est maintenant le cas. A cela il faut ajouter que de nombreux principes à respecter doivent être inclus dans les audits et démontrer par l’apport de preuves documentaires. Il en ressort que beaucoup de périmètres qui doivent être auditeur ne peuvent l’être si on se limite aux audits de traitements permettant la production du registre.

Les questions auxquelles doivent répondre les personnes qui vont déclarer ces traitements via les questionnaires d’audit sont identifiés dans l’article 30 du RGPD :

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b) les finalités du traitement ;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel ;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Article 32, paragraphe 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant :

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement ;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.

Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

L’audit de déclaration permet de produire un registre qui identifiera des projets transverses de mises en conformité. Si vous êtes en difficulté pour identifier les types de personnes concernées dans vos traitements ou tout autre chapitre relevant de l’article 30, cela indiquera certainement de mettre en œuvre des projets comme une politique de cartographie des données ou des supports.

Cependant, certains projets comme la violation des DCP n’apparaitront pas suite aux déclarations.

Data Transition a conçu un questionnaire qui inclut des audits permettant d’identifier le niveau de maturité des projets transverses nécessaires à la gestion des données personnelles de façon continue et d’améliorer la conformité de l’organisation dans ce que demande le RGPD par étape en mode gestion de projet.

Nos outils sont mis à la disposition de nos clients lors de nos missions et seront disponibles via une plate-forme dès qu’ils auront obtenu une validation opérationnelle de l’ensemble de nos utilisateurs.

Notre engagement d’expert-es, que ce soit en mission d’accompagnement ou uniquement via les outils que nous proposerons prochainement est l’autonomisation de nos clients sur la gestion des données personnelles et l’acquisition d’une méthode organisationnelle pour protéger l’organisation des sanctions qu’elles pourraient subir et profiter des opportunités qu’une gouvernance des données peut apporter aux organisations.