Élaborer les registres

Les déclarations auprès de l’Autorité de Contrôle de Protection des données et de respect de la vie privée (CNIL en France), que les entreprises avaient l’habitude de réaliser, ont disparu le 25 mai 2018 avec l’entrée en application du RGPD.

Votre Organisation, agissant en tant que Responsable de traitement des données de Vos clients et prospects, doit tenir plusieurs registres. Leur élaboration et actualisation peuvent s’avérer fastidieuses et très consommatrices de temps, raison pour laquelle il Vous est conseillé de déléguer leur tenue à Votre Cheffe de projet experte RGPD ou à Votre DPO externalisée. Ces professionnels de la protection et de la sécurité des données sauront ce qu’il convient de faire pour chacun des cinq (5) registres que Votre Organisation doit tenir.

 Mais de quels registres s’agit-il ?

La plupart des Organisations pensent au registre des activités de traitement sans penser à l’importance de tenir, outre ce registre, ceux :

• Relatifs aux sous-traitants avec lesquels Vous travaillez

• Renseignant les incidents de sécurité et/ou les violations de données

• Centralisant les demandes d’exercice des droits des personnes concernées par les traitements de données que Votre Organisation effectue

• Des analyses d’impact sur la vie privée (PIA) datées, pour les traitements présentant un risque pour les personnes concernées.
  

Pour établir Votre registre d’activités de traitement, Vous aurez dû procéder à la Cartographie exhaustive des traitements et des flux de données mis en œuvre par Votre Organisation.

Le registre des activités de traitement doit être le reflet réel de vos traitements de données personnelles. Il permettra à Votre Organisation d'identifier précisément :

• Qui intervient dans le traitement de données: responsable(s) du traitement, sous-traitants, responsables de traitement conjoints ou "independent controller", etc.;
• Quelles données Vous traitez (type et catégorie);
• Pourquoi Vous traitez ces données (finalités);
• Avec qui partagez-Vous ces données?
• Combien de temps les conservez-vous?
• Comment sont-elles protégées ou sécurisées?

La CNIL ainsi que les Autorités de Contrôle de Protection de données européennes ont eu l’occasion de mettre dans leurs sites des exemples de registres d’activités de traitements, plus ou moins simplifiés.

Le registre des activités de traitement est un outil de pilotage démontrant Votre Accountability au regard de la règlementation relative à la protection et à la sécurité des données.  Il Vous permet aussi de Vous poser les questions pertinentes au sujet des traitements que Votre Organisation réalise et de hiérarchiser les risques au regard du RGPD.

L'élaboration du registre des activités de traitement fera partie des livrables de l'Audit de Diagnostic complet que Smart Privacy Consultign peut réaliser au sein de Votre Organisation.

De manière générale, un traitement de données nécessite aussi la participation de sous-traitants à qui Votre Organisation, si elle est Responsable du Traitement des données, confiera tout ou partie du traitement de données.

Le RGPD contraint les Responsables de traitement à travailler uniquement avec des prestataires de services, des sous-traitants, qui garantissent la sécurité et la protection des données qui pourraient leur être confiées. La conformité au RGPD est devenu un critère de sélection des sous-traitants.

Il convient ainsi, de dresser un registre des sous-traitants dans lesquels seront enregistrées :

• Les informations relatives au sous-traitant (raison sociale, numéro de RCS, etc.)

• Les documents ayant été fournis à Votre Organisations prouvant leur conformité au RGPD

• L’information concernant l’encadrement du (des) traitement(s) de données confié (e) par Votre Organisation : contrats, avenants relatifs au traitement de données (Data Processing Addendum) comportant les mesures techniques et organisationnelles nécessaires au(x) traitement(s) de données faisant suite à ses éventuelles recommandations.

Ce registre des sous-traitants vous servira aussi à réaliser un suivi de la conformité des sous-traitants avec lesquels Vous travaillez et à les challenger au moment d'un nouveau projet ou d'un appel d'offres.

Les incidents de sécurité et les violations de données ne sont notifiés à l’Autorité de Contrôle (CNIL en France) et/ou aux victimes que si elles entraînent un risque important aux droits et libertés fondamentales des victimes : fraude à la carte bancaire, usurpation d’identité, par exemple.

La tenue de ce registre fait partie intégrante de la procédure de gestion des incidents de sécurité /ou de violations de données qui devra être mise en place au sein de Votre Organisation. 

Vous devez documenter en interne tout incident de sécurité et/ou violation de données, et ce, même lorsque ladite violation de données ne devait pas être notifiée à l’Autorité de Contrôle (la CNIL en France) et n’entraînerait aucun risque pour les libertés et droits fondamentaux des personnes concernées par le traitement de données.  Laissez un(e) professionnel(le) de la protection des données évaluer s'il convient ou non de notifier l'Autorité de Contrôle!

En cas de contrôle de l’Autorité de Contrôle, celle-ci pourra consulter ce registre afin de vérifier que Votre Organisation effectue un suivi de tout incident de sécurité et de toute violation de données, quelle que soient leurs conséquences.

Ce registre Vous aidera, le cas échéant, à réaliser la notification auprès de l’Autorité de Contrôle concernée, car il comporte les éléments essentiels de ladite notification.  

Le RGPD a renforcé les droits existants des personnes et leur en a donné de nouveaux. L’objectif du RGPD est de redonner aux personnes concernées par le(s) traitement(s) de données (consommateurs, prospects, clients) le contrôle sur leurs données à caractère personnel.

Etant donné que ces demandes d’exercice des droits doivent être gérées dans le délai légal de 30 jours suivant leur réception par Votre Organisation, il convient de respecter les différentes étapes des réponses et d’en garder la preuve des communications entre le demandeur et Votre Organisation. Cela vous sera utile en cas de réclamation des personnes ou de l’Autorité de contrôle.

De même, ce registre Vous permettra de :

• Centraliser toutes les demandes reçues par Votre Organisation en centralisant notamment l’identité des demandeurs, la justification de leur identité et la nature de leur demande

• Visualiser en un coup d’œil l’ensemble des demandes reçues ainsi que leur statut horodaté : en cours de traitement, traitées

• Réaliser un suivi précis des différentes étapes des demandes, dès la réception à la réponse envoyée au demandeur, en passant par

• L’analyse du bienfondé de la demande en tenant compte des spécificités de chaque droit et des conséquences et actions en résultant

• La vérification de l’identité de la personne

• La délégation du traitement des demandes aux autres entités susceptibles de traiter les données du demandeur : sous-traitants, partenaires, etc.
  

L’analyse d’impact aide les Organisations à construire des traitements de données respectueux de la vie privée et à démontrer leur conformité au RGPD. Cette PIA doit être menée pour tout traitement susceptible d’engendrer un risque élevé pour la vie privée des personnes concernées. 

Les PIA peuvent porter sur plusieurs traitements de données similaires. La CNIL, de même que chacune des Autorités de contrôle européennes a dressé une liste de traitements nécessitant obligatoirement une PIA ainsi qu’une liste des traitements qui en sont exemptés.

Vous devrez transmettre les résultats de votre PIA à l’Autorité de Contrôle (la CNIL en France) :

• Si le niveau de risque résiduel du traitement reste élevé et que Vous devez consulter l’Autorité de Contrôle dont Vous dépendez

• Si le traitement fait partie intégrante de la liste publiée par l’Autorité de Contrôle.

Les résultats d’une PIA sont valables pour une durée de trois (3) ans, comme l’étaient, avant le RGPD, les autorisations octroyées par l’Autorité de Contrôle.

C’est pour ces raisons qu’il Vous faut tenir un registre complet des PIA réalisées, lequel Vous permettra de suivre dans le temps les traitements pour lesquels une nouvelle PIA doit être effectuée.

Ce registre servira à Votre Organisation comme document d'Accountability démontrant Votre conformité au RGPD.