RGPD : la Cnil publie son registre de traitements
La Cnil rend public le registre de ses activités de traitement de données à caractère personnel. Une décision prévue par l’article 30 du RGPD qui impose la tenue d’un tel registre par les organismes qui traitent régulièrement des données personnelles.
La Cnil a choisi de publier son propre registre RGPD qui liste plus d’une cinquantaine d’activités de traitement de données à caractère personnel.
L’article 30 du RGPD impose la tenue d’un tel registre par les organismes qui traitent régulièrement des données personnelles*. L’obligation s’impose aussi aux sous-traitants.
Du côté de la Cnil, on a défini 10 catégories principales d’activités de traitement :
- Gestion des demandes des usagers (plaintes, droit d’accès indirect, saisines du public professionnel, notifications de violations de données personnelles…)
- Contrôles, sanctions et contentieux
- Études, prospectives et partenariats
- Communication, interventions et événements (sites web, newsletter, réseau sociaux, demandes presse, MOOC « Atelier RGPD »…)
- Gestion documentaire et information interne
- Ressources humaines (recrutement, santé-médecine, télétravail, compte personnel de formation, restauration collective…)
- Conformité et risques (demandes adressées au DPO, sécurité des systèmes d’information, alertes professionnelles…)
- Informatique et télécoms
- Marchés, finances et logistique
- Fonctionnement courant des services
Obligatoire ou facultatif ?
Chacune des 54 fiches contient des éléments que l’article 30 impose :
- Nom et coordonnées du responsable de traitement (éventuellement du responsable conjoint), de son représentant et du DPO
- Finalités du traitement
- Catégories de personnes concernées et catégories de données traitées
- Catégories de destinataires des données
- Existence de transferts vers des pays tiers ou à une organisation hors UE
- Dans la mesure du possible, durée de conservation des données
- Également dans la mesure du possible, description générale des mesures de sécurité prises (sauvegarde, chiffrement, traçabilité…)
La Cnil intègre aussi des renseignements non obligatoires, mais jugés « utiles au pilotage des traitements et à l’information des personnes concernées » :
- Base(s) légale(s) ou juridique(s) du traitement
- Source des données
- Caractère obligatoire ou facultatif du recueil des données et conséquences en cas de non-fourniture des données
- Existence d’une prise de décision automatisée
- Droits des personnes concernées et moyen(s) de les exercer
- Droit d’introduire une réclamation auprès de la Cnil
Au-delà de son propre registre, la Cnil en propose un modèle simplifié, au format tableur (ODS) et destiné à répondre en particulier aux besoins des petites structures.
* Une dérogation existe pour les organismes de moins de 250 salariés. Elle les dispense de déclarer les traitements mis en œuvre « de manière occasionnelle et non routinière ».
Photo d’illustration © portalgdaviaVisualhunt / CC BY-NC-SA