GDPR : Tout savoir sur le registre des activités de traitement
Publié le 09/08/2017 par Olivia Guerguinov, Thierry Léonard
Qui doit tenir un Registre ? Existe-t-il des exceptions ? Pourquoi cette obligation de tenir un Registre ? Que doit contenir le Registre ? Quelles informations doivent y figurer ? Comment établir le Registre ? A qui est-il destiné ? Quelles sont les sanctions ? La Commission belge pour la protection de la vie privée a publié ce 14 juin 2017 une Recommandation qui peut servir de guide.
A partir du 25 mai 2018, les autorités de contrôles seront libres de sanctionner les entreprises pour non-respect du GDPR. Or, l’une des nouvelles obligations phare du règlement est la tenue d’un registre des activités de traitement (art. 30 GDPR). Pourquoi phare ? Parce que le leitmotiv du règlement est la responsabilisation a priori de celui qui traite les données – responsable ou sous-traitant – ce qu’exprime parfaitement le devoir de tenir un registre des activités de traitement.
Qui doit tenir un Registre ?
En principe, les responsables de traitement (SPRL, SA, ASBL, comptables, avocats, pharmaciens, médecins, commerçants, etc.), leurs sous-traitants et même… les représentants de ces derniers devront (sauf exceptions) tenir un registre. Pour rappel, le responsable de traitement qui ne dispose pas d’un établissement sur le territoire de l’UE mais qui se voit appliquer le GDPR, doit désigner un représentant. Bonne nouvelle toutefois dans ce dernier cas: la CPVP admet la tenue d’un registre unique afin d’éviter tout double-emploi.
Les entreprises ou organisations de moins de 250 employés bénéficient quant à elles d’une dispense sauf lorsqu’elles tombent dans l’une des quatre hypothèses suivantes :
- le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées (le considérant 75 GDPR énumère de manière non-limitative certains d’entre eux : traitement donnant lieu à une discrimination, révélant l’origine raciale, etc.) ;
- le traitement n’est pas occasionnel c’est-à-dire selon la CPVP lorsqu’il est habituel (elle indique par exemple que les traitements de données liés à la gestion du personnel (RH), à la gestion des fournisseurs ou à la gestion de la clientèle ne sont pas occasionnels) ;
- le traitement effectué porte sur des catégories particulières de données, appelées « données sensibles » (càd. les données concernant l’origine raciale ou ethnique, la religion ou les convictions, les opinions politiques ou toute autre opinion, l’appartenance à un syndicat, la santé, la vie sexuelle ou l’orientation sexuelle d’une personne)ou ;
- le traitement effectué porte sur des données judiciaires.
La CPVP considère – à raison – que l’exemption pour PME n’a qu’une portée limitée (souvent les traitements seront permanents et non occasionnels) et est d’ailleurs d’avis qu’il serait de bonne pratique d’établir en toute hypothèse le dit registre. Cela étant, elle en admet son inutilité en cas de traitement réellement occasionnel.
Pourquoi cette obligation de tenir un Registre ?
La CPVP insiste sur le fait que le registre doit être vu comme un outil du principe d’« accountability » c’est-à-dire de responsabilité inscrit à l’article 5.2. Cela implique notamment que le responsable du traitement soit à même de pouvoir démontrer la conformité des activités de traitement avec le règlement en adoptant une approche par les risques. Ce principe nécessite donc de travailler sur la gouvernance des données et impose concrètement dans les faits de devoir constituer une documentation importante afin de pouvoir démontrer, a posteriori sa conformité et son respect de la protection des données à caractère personnel auprès des autorités de contrôle.
Si la tenue d’un registre profite directement aux autorités dans leur tâche de surveillance, la CPVP indique qu’elle profite également aux responsables et aux sous-traitants qui pourront grâce à ce dernier, appliquer de manière efficace et plus éclairée les règles contenues dans le GDPR. Une vue d’ensemble des activités de traitement permettra par exemple de pouvoir répondre à la question de savoir si en tant que responsable ou sous-traitant, il est autorisé à traiter ces données (si la réponse est non, il devra ainsi arrêter tout traitement afin d’éviter de lourdes sanctions); si les données sont envoyées à l’étranger et si oui, dans quel pays (afin de prévoir l’encadrement adéquat pour assurer un régime de protection équivalent si le transfert à lieu vers un pays situé hors de l’EU), etc.
Pour aider les destinataires de l’obligation dans un premier temps dans la mise en place du registre interne – et à défaut d’autres outils disponibles – la CPVP est d’avis que les outils déjà mis en place dans le cadre des déclarations préalables peuvent servir. Elle renvoie dès lors à une note explicative listant les finalités les plus courantes (buts d’utilisation des données), les différentes catégories de données, de destinataires etc. et mise à disposition sur le site de la CPVP. Mais attention, ce ne sera toutefois pas suffisant : de nombreux traitements – qui devront figurer dans le registre – échappent actuellement à l’obligation de déclaration préalable (par exemple, les traitements relatifs à l’administration du personnel ou des salaires) et ne sont dès lors pas repris dans la note explicative.
Quelles informations doit contenir le Registre ?
La CPVP rappelle que les informations à indiquer dans le registre ne sont pas identiques selon que le traitement est effectué par un responsable de traitement ou par un sous-traitant. Mais principalement, devront s’y trouver des informations relatives aux buts pour lesquelles les données sont traitées (ex : gestion des prestation salariales), aux catégories de personnes concernées par le traitement des données (ex : employés, travailleurs intérimaires, etc.), aux destinataires de données (ex : ONE, mutuelles, etc.), à la durée de conservation des données, etc. Le registre devrait distinguer les traitements tenus en qualité de responsable ou de sous-traitant.
De façon simplifiée, ces informations devront permettre de répondre aux 6 questions suivantes :
- Qui ? On vise les données telles que le nom et les coordonnées du responsable de traitement et le cas échéant du responsable conjoint du traitement, du sous-traitant, du représentant du responsable de traitement et du délégué à la protection des données;
- Pourquoi ? Cela revient à décrire la finalité du traitement des données. La CPVP donne des informations sur le degré de précision de celle-ci et recommande que le registre contienne un descriptif plus complet à côté de la formulation générale de la finalité;
- Quoi ? Il s’agit d’une description des catégories de personnes concernées – en isolant les mineurs – et des données traitées – en isolant les données sensibles – pour chacune des finalités identifiées;
- Où ? Le but est de localiser les données, de préciser les destinataires de celles-ci – en ce compris les sous-traitants – les transferts de données vers des pays tiers à l’Union et l’EEE ainsi que la documentation y afférente etc., ce qui implique une gestion dynamique du registre, insiste la CPVP.
- Jusqu’à quand ? On retrouve ici principalement les informations concernant la durée de conservation des données. La CPVP souligne ici que cette durée ne doit pas nécessairement s’exprimer en jours-mois-années mais peut faire référence à des paramètres tels que le temps nécessaire à la réalisation de la finalité concrète poursuivie, à la gestion du contentieux éventuel y relatif, à l’expiration d’un délai de prescription etc.;
- Comment ? Il s’agit d’une description générale des mesures de sécurité techniques et organisationnelles mises en place).
Bien entendu, d’autres éléments peuvent être ajoutés dans le registre indique la CPVP (base légale du traitement, la nécessité d’une analyse d’impact, le relevé des violations de données etc.).
Comment établir le Registre ?
Ce registre doit être tenu en associant des personnes des services opérationnels ainsi que le cas échéant, le DPO. La CPVP rappelle également que celui-ci doit être tenu par écrit (en ce compris de manière électronique) et être lisible et compréhensible.
Le registre devra en outre être constamment tenu à jour. Concernant les traitements auxquels il a été mis fin, la CPVP recommande de les inclure malgré tout dans le registre avec mention de leur statut et durant un délai d’environ 5 ans. Il est également à noter que la CPVP ne demande pas que le registre soit tenu dans une langue nationale mais admet l’anglais comme langue de rédaction même si elle pourra exiger une traduction en cas de contrôle.
Pour aider les entreprises et organismes dans l’établissement de ce registre, un canevas-type de registre est d’ores et déjà disponible sur le site de la CPVP. Le modèle de registre proposé va au-delà des prescrits du GDPR (ex : les informations relatives à la manière dont les personnes sont informées de l’enregistrement de leurs données) : les informations minimales devant obligatoirement figurer dans le registre sont marquées en rouge.
Ce modèle n’est cependant pas un support officiel : la CPVP laisse donc la liberté d’utiliser un autre registre, sous un autre format (logiciel, etc.) pour autant que celui-ci permette d’offrir un aperçu complet des traitement de données personnelles opérés. A cet égard, il conviendra d’être également attentifs aux modèles publiés le cas échéant par les organismes représentatifs de certains secteurs d’activité puisqu’ils ont été encouragés par la CPVP à se pencher sur la question.
Quelles sont les sanctions lorsque le Registre n’est pas tenu (correctement) ?
La CPVP rappelle qu’une amende administrative pouvant s’élever jusqu’à 10.000.000 EUR pourra être infligée ou, pour une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).
L’autorité de contrôle pourra en sus, exercer l’ensemble de ses pouvoirs à l’égard des responsables de traitement et sous-traitants qui ne respecteront pas leur obligation (avertissement, limitation temporaire ou permanente du traitement, rectification ou effacement des données personnelles, retrait de la certification, etc.).
Une synthèse et des recommandations clôturent un document qui sera utile à tous ceux qui travaillent en ce moment sur un chantier GDPR.