En application du principe d’accountability, le responsable de traitement, tout comme les sous-traitants, doivent pouvoir prouver à tout moment le respect des principes édictés par le RGPD.
L’article 30 du RGPD prévoit la mise en place d’un registre des traitements, qui remplace, pour faire simple, les anciennes obligations déclaratives. Le 14 juin 2017, la Commission de Protection de la Vie Privée (CPVP), équivalent de la CNIL en Belgique, a publié une recommandation[1] apportant des éléments de précisions sur cette obligation.
Quels organismes sont tenus d’avoir un registre des traitements de données ?
L’article 30 impose la mise en place d’un registre tant par les responsables de traitement que par les sous-traitants. Ce même article crée une exception pour les entreprises ou organisations « comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».
Plusieurs éléments de cette exception nécessitent des clarifications, notamment sur la qualification du « risque » et sur la notion d’« occasionnel ».
Pour la première exception, la recommandation s’appuie sur les considérants du RGPD, et en particulier son considérant 75 qui explicite la notion de « risque pour les droits et libertés des personnes concernées » en dressant une liste de ces risques :
- Lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important;
- lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel;
- lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes;
- lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels;
- lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
Sur la notion d’ « occasionnel », la CPVP part du terme anglais « occasionnal » pour expliquer qu’il caractérise un traitement « qui est tel par occasion, par hasard, fortuit, par opposition à habituel ». Pas réellement décisive, cette explication est suivie d’exemples qui sont quant à eux plus illustratifs : « Ne sont par exemple pas des traitements occasionnels, les traitements de données liés à la gestion de la clientèle, à la gestion du personnel (ressources humaines) ou encore à la gestion des fournisseurs ».
Partant de cette liste d’exemples, qui reprend la plupart des traitements soumis aujourd’hui à des normes simplifiées, la prudence devrait finalement conduire tous les responsables de traitement ainsi que tous les sous-traitants à mettre en place un registre. C’est d’ailleurs à cette conclusion qu’aboutit la CPVP en invitant l’ensemble de ces acteurs à tenir un registre.
Le maintien temporaire de l’accès aux déclarations préalables
La CPVP rappelle que le registre est un outil de l’accountability comme cela a été précisé en introduction. Moyen de prouver que les obligations liées aux traitements des données sont respectées, il se substitue aux déclarations préalables encore en vigueur jusqu’au 25 mai 2018.
Pour autant, ces déclarations préalables contiennent un nombre important d’informations que les responsables de traitement peuvent être heureux de réutiliser pour compléter leur registre. La CPVP propose dès lors de maintenir ces déclarations accessibles jusqu’au 25 mai 2019, tout en alertant sur le fait que ces déclarations préalables ne concernent pas toutes les finalités. Ces précisions sont valables pour la France, les CIL ayant déjà pour habitude de se référer aux déclarations et autorisations pour compléter le registre. Elles resteront un outil précieux pour aiguiller les responsables et sous-traitants dans le respect de l’article 30 du RGPD.
Les informations devant apparaître dans le registre des RT et des ST
La Recommandation permet un rappel des informations listées à l’article 30 et devant apparaître dans le registre :
- l’identité du responsable de traitement, de son représentant et du DPO. La CPVP précise que le fait de porter le nom du DPO sur le registre ne dispense pas de devoir l’indiquer à l’autorité compétente.
- Les finalités de chacun des traitements, de façon précise et claire. Il est ici recommandé que, lorsque la finalité est assez générale, le rédacteur y apporte un descriptif plus précis.
- Une description des catégories de personnes concernées par les données et un descriptif des données traitées. En ce qui concerne les personnes, il est recommandé de préciser l’âge des personnes concernées car le RGPD comprend des règles particulières pour les mineurs.
- Les personnes à qui les données sont éventuellement transférées, que ce soit des transferts internes ou externes (sous-traitants,…).
- Le lieu de transfert des données en particulier l’identification des pays tiers, les documents attestant de l’existence de garanties appropriées en l’absence de décision d’adéquation le cas échéant et ce pour chacune des finalités identifiées. La CPVP rappelle que l’hypothèse d’un transfert vers un pays tiers avec lequel il n’existe pas de décision d’adéquation obligeant à apporter des garanties appropriées est cependant « une disposition qui ne doit être utilisée comme fondement au transfert qu’à titre tout à fait exceptionnel ». Par ailleurs, les garanties qui entourent ces transferts doivent être « strictes », « prévues par exemple dans un contrat à répertorier dans le Registre ».
- La durée de conservation. Pour ce point particulièrement délicat pour les responsables de traitement, l’autorité belge précise simplement que cette durée n’est pas nécessairement une durée en jours, mois ou année mais peut être l’arrivée d’un événement : durée de prescription, temps de réalisation d’une finalité ou de gestion du contentieux éventuel qui s’en suivrait, durée d’archivage imposée par la loi à l’issue du traitement, etc.
- Enfin, le dernier point à préciser concerne la façon dont sont stockées les données et leur sécurisation. La CPVP rappelle que ce point concerne tant la sécurité technique qu’organisationnelle et renvoie à une recommandation antérieure sur les questions de sécurité.
Pour les sous-traitants, qui seront désormais soumis à l’obligation de tenir un registre, les informations devant y apparaître seront légèrement différentes. En effet, il faudra que l’identité du sous-traitant ou de son représentant soit mentionnée ainsi que celles de chacun des responsables de traitement pour lesquels il intervient. Les catégories de traitement, et donc les finalités de chacun de ces traitements seront précisées, le sous-traitant ayant pour obligation de respecter celle-ci. Les transferts de données et les mesures de sécurisation devront enfin elles-aussi être mentionnés.
La forme du registre
Sur ce point, la CPVP n’apporte pas d’éléments particuliers de réflexion, mais reprend ce que le RGPD impose. A savoir un registre sous forme informatique, dans un langage clair et précis afin de permettre à l’autorité de contrôle de comprendre les traitements et comment ils sont réalisés.
Pour l’autorité belge aucun canevas ou modèle ne s’impose, chaque responsable disposant d’une grande liberté dans la mise en œuvre de ce registre. Elle conseille néanmoins à chaque secteur d’activités de proposer aux acteurs de ce secteur un registre type correspondant aux exigences et traitements habituels du domaine d’activité. La CPVP elle-même n’exclue pas, à ce stade, de proposer un modèle de registre.
Lorsqu’une même entité est à la fois responsable de traitement et sous-traitant, ce qui représente la majorité des situations des sous-traitants, il semble préférable de prévoir deux volets distincts au sein du registre. Mais sur ce point encore, l’autorité ne souhaite pas imposer quoi que ce soit et veut laisser une grande liberté aux acteurs.
Enfin, en ce qui concerne les informations du registre une fois un traitement terminé, la CPVP conseille de le laisser visible sur le registre en précisant les dates de début et de fin. On retrouve ici la logique liée à l’accountability.
***
Grâce à cette recommandation, la CPVP offre un point précis de ce qui attend les responsables de traitement et les sous-traitants avec la tenue du registre. L’autorité belge intègre parfaitement la logique qui irrigue le RGPD : l’accountability. Elle précise ainsi que si le RGPD indique les données devant obligatoirement apparaître, chaque responsable de traitement demeure libre de mettre d’autres informations sur le registre en tenant compte en particulier des spécificités des secteurs d’intervention, mais aussi d’autres obligations imposées par le RGP : la mise en place d’un PIA, les pertes de données ou autres violations, mention de la base légale du traitement, etc.
Toujours en lien avec l’accountability, la CPVP rappelle que ce registre devra faire l’objet d’une mise à jour constante afin que, dès que l’autorité le demande, ce registre puisse lui être remis sans qu’aucun traitement ou information ne soient manquants.
Enfin, en guise de rappel là encore, cette recommandation souligne que l’obligation de tenue du registre n’est pas anodine puisqu’en cas de violation de l’article 30, l’entreprise peut se voir infliger une amende administrative pouvant aller jusqu’à 10 000 000 d’euros ou jusqu’à 2% du CA mondial.
Pascal ALIX, Avocat à la Cour et DPO externe
Hubert de Segonzac, Avocat à la Cour et DPO externe
[1] Recommandation n°06/2017 du 14 juin 2017, relative au registre des activités de traitements (article 30 du RGPD).