Fil d'actualité Protection des données personnelles

Protection des données personnelles

Centre national de la recherche scientifique

Accueil du siteRegistre de traitementsRecommandations de l’autorité de contrôle belge pour le registre des traitements

Recommandations de l’autorité de contrôle belge pour le registre des traitements

Page publiée le 2 mai 2018

Recommandations de l’autorité de contrôle belge pour le registre des traitements

Source CPVP

 Extraits du document

1. Le Règlement général sur la protection des données (ci-après RGPD)1 est entré en vigueur le 24 mai 2016 et sera d’application à dater du 25 mai 2018.

2. Au chapitre IV du RGPD qui énonce les obligations des responsables de traitement et des sous-traitants, l’article 30 met à charge des responsables de traitement et des sous-traitants une obligation de tenir un registre des activités de traitement (ci-après le Registre). Un certain nombre d’informations relatives aux traitements opérés doivent figurer dans ce Registre2 : dans quel but sont-elles traitées, quelles sont les catégories de personnes concernées par les données traitées, quels sont les destinataires des données, quel est leur délai de conservation etc.

3. La Commission de la protection de la vie privée (ci-après la CPVP) reçoit un grand nombre de questions relatives à ce Registre. Partant, elle adopte la présente recommandation afin de guider les responsables de traitement et les sous-traitants dans la préparation de celui-ci d’ici au 25 mai 2018, date à partir de laquelle ce Registre devra être en place et date à partir de laquelle la CPVP pourra également demander qu’il soit mis à sa disposition, dans le cadre de contrôles par exemple.

4. Pour établir ce Registre, la/les déclaration(s) préalable(s) de traitement prévue(s) à l’article

17 de la Loi Vie privée (ci-après LVP) que les responsables de traitement ont introduit auprès de la CPVP pourra/ pourront, dans une certaine mesure, être utile(s). Il sera précisé dans cette recommandation dans quelles limites, cette ou ces déclaration(s) de traitement introduite(s) et disponibles via le Registre public en ligne pourra/pourront être exploitée(s).

5. La recommandation abordera les questions suivantes :

  • a. Qui doit tenir un Registre ? Existe-t-il des exceptions ?
  • b. Pourquoi cette obligation de tenir un Registre ?
  • c. Que doit contenir le Registre ? Quelles informations ?
  • d. Comment établir le Registre ?
  • e. A qui est-il destiné ?
  • f. Quelle(s) sanction(s) ?

 a. Qui doit tenir un Registre ? Existe-t-il des exceptions ?

6. L’obligation s’adresse à la fois :

  • Au responsable de traitement
  • Au sous-traitant

Le responsable de traitement

7. Aux termes de l’article 30.1. du RGPD, le responsable du traitement - et son représentant le cas échéant3 - devra, sauf exceptions (voy. infra) tenir un registre des activités de traitement de données qui ont lieu sous sa responsabilité.

8. La notion de responsable de traitement est définie à l’article 4 (7) du RGPD comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Peuvent donc être qualifiés de « responsable de traitement » les autorités publiques, les organismes publics, les personnes morales quelle que soit leur forme juridique (SPRL, SA, fondations, GIE (groupement d’intérêt économique), SCRL, SNC, ASBL, …) mais aussi des personnes physiques, personnes privées ou travailleurs indépendants par exemple (comptables, réviseurs d’entreprises, avocat, pharmacien, architecte, médecin, dentiste, infirmier, sage-femme, les professions paramédicales, les commerçants, …). Cette notion ne diffère pas de celle de la LVP actuelle. Il s’agit d’une notion autonome qui n’implique pas, par exemple, que l’entité qui détermine les finalités et les moyens dispose de la personnalité juridique (société momentanée, association de fait, …).

9. A la lecture du texte, tant le responsable de traitement que son représentant, si représentant il y a, doivent tenir un registre des traitements (« tiennent » un registre est par ailleurs utilisé au pluriel dans la version française). Dans le cas où le responsable de traitement ne dispose pas d’établissement sur le territoire de l’Union mais se voit appliquer le RGPD, il est en effet tenu de désigner un représentant en application de l’article 27.

10. Il n’est toutefois, de l’avis de la CPVP, nullement nécessaire que chacun du responsable de traitement et de son représentant établisse un tel Registre. Un Registre unique est admis.

Le sous-traitant

11. Aux termes de l’article 30.2. du RGPD, le sous-traitant, et le cas échéant son représentant6, devra lui aussi, sauf exceptions (voy. infra) maintenir un registre des activités de traitement effectuées pour le compte du responsable de traitement.

12. La notion de sous-traitant est définie à l’article 4 (8) du RGPD comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ». Comme pour les responsables de traitement, peuvent donc être qualifiés de « sous-traitants » les autorités publiques, les organismes publics, les personnes morales quelle que soit leur forme juridique, mais aussi des personnes physiques. A titre d’exemples citons les secrétariats sociaux qui exercent de nombreux traitements en qualité de sous-traitants, les sociétés de stockage de données auxquelles il est fait appel faute de conservation en interne etc.

13. De manière générale, le RGPD a pris la mesure de l’importance du recours aux sous-traitants et du rôle qui est le leur dans le cadre des traitements opérés. Un certain nombre d’obligations imposées aux responsables de traitement sont ainsi, mutatis mutandis, également mises à leur charge. La tenue du Registre est l’une d’elle.

Exception – dispense pour les entreprises ou organisations de moins de 250 employés sauf …

14. Cette obligation aussi dénommée au cours de la négociation du RGPD « obligation de documentation interne » comporte une exception pour les « entreprises ou organisation comptant moins de 250 employés » (art. 30.5 du RGPD). Elles n’y seront pas soumises sauf exceptions détaillées aux points 18 et suivants ci-dessous.

… lorsque l’exception tombe (4 hypothèses liées à l’approche par le risque)

18. Si elles se trouvent dans l’une des 4 hypothèses ci-dessous, les entreprises et organisations, fussent-elles de moins de 250 employés, devront tout de même tenir un Registre :

  • le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et libertés8 des personnes concernées ;
  • Le considérant 75 du RGPD explicite à cet égard que : « Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier :
    • lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ;
    • lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ;
    • lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes ;
    • lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels ;
    • lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants ; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.
  • Le traitement qu’elles effectuent n’est pas occasionnel ;

Comment définir le caractère non occasionnel d’un traitement ? « Occasionnal », terme anglais (langue de travail et de négociation du RGPD) doit être compris comme « occurring or appearing at irregular or infrequent intervals ; occurring now and then », soit un traitement qui est tel par occasion, par hasard, fortuit par opposition à habituel. Ne sont par exemple pas des traitements occasionnels, les traitements de données liés à la gestion de la clientèle, à la gestion du personnel (ressources humaines) ou encore à la gestion des fournisseurs.

  • Le traitement qu’elles effectuent porte sur des catégories particulières de données de l’article 9 du RGPD (données sensibles) ;
    • Sont ainsi qualifiées : les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
    • Le traitement qu’elles effectuent porte sur des données visées à l’article 10 du RGPD (données judiciaires) ;
    • Sont visées par l’article 10 du RGPD : les données à caractère personnel relatives aux infractions pénales et aux infractions ou aux mesures de sûreté connexes.

Recommandation de la CPVP

19. De manière tout à fait générale, qu’ils soient ou non tenus de maintenir un Registre aux termes du RGPD, la CPVP recommande à tous les responsables de traitement et sous-traitants d’établir ce Registre pour les raisons qu’elle expose à la section suivante.

20. De manière générale, moins de traitements sont opérés et plus simples ils sont, plus aisé il sera d’établir ce Registre, notamment, a priori, pour les PME.

 b. Pourquoi cette obligation de tenir un Registre ?

Un outil de l’accountability

21. Ce registre est conçu comme un des outils de l’accountability, soit le principe de responsabilité ou de responsabilisation du responsable de traitement (ainsi que, de manière indirecte du sous-traitant) qui est sous-jacent à l’ensemble des obligations mises à sa charge par le RGPD.

22. En effet, pour pouvoir appliquer effectivement les règles en matière de protection des données contenues dans le RGPD et les obligations mises à leur charge, il est indispensable que les responsables de traitement et sous-traitants identifient et disposent d’une vue d’ensemble des traitements de données personnelles qu’ils opèrent :
s’agit-il de traitements de données personnelles ou de données anonymes (dans ce dernier cas le RGPD ne s’appliquera pas) ?
Suis-je autorisé à traiter ces données, sur quelle base ? Est-ce que des données sensibles, comme des données relatives à la santé, relatives à l’appartenance religieuse ou syndicale, génétiques (article 9 du RGPD), sont traitées ?
Quels sont les éléments d’information qui doivent être communiqués aux personnes concernées ?
Est-ce que ces données sont envoyées à l’étranger, par exemple à des fins de stockage ?
Et si oui, vers quels pays et avec quel encadrement pour qu’un régime de protection « substantiellement équivalent »soit appliqué à ces données dans ce pays tiers à l’Union européenne ?
Comment sécuriser au mieux les données traitées compte tenu de leur nature, du volume de données traitées ? Etc.

23. Ce Registre n’est par contre pas destiné aux personnes concernées ni au public en général

Une source d’information pour l’autorité de contrôle

24. L’article 30.4. énonce que le responsable de traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le Registre à la disposition de l’autorité de contrôle sur demande. Les informations contenues dans ce Registre constitueront une précieuse source d’information pour l’autorité de protection des données dans le cadre des contrôles qu’elle mènera.

...

30. Partant, le RGPD supprime cette obligation préalable de traitement à l’autorité de contrôle et opte pour la tenue d’un Registre exclusivement interne, mais qui doit être fourni à l’autorité de contrôle à première demande13. Le lien avec l’autorité de contrôle n’est donc pas rompu ; il s’inscrit désormais dans la logique d’accountability du RGPD et dans l’évolution des missions des autorités de protection des données vers davantage de contrôle a posteriori que d’interventions en amont des traitements.

  • La source d’informations utiles que constituent les déclarations préalables de traitements

... Le Registre devra par ailleurs constamment être tenu à jour

 c. Que doit contenir le Registre ? Quelles informations ?

Application dans le temps

37. Quels sont les traitements au regard desquels les informations doivent figurer dans le Registre ? Comme déjà mentionné, le RGPD sera d’application à dater du 25 mai 2018. Le Registre devra, à partir de cette date, contenir les éléments d’informations détaillés ci-dessous au regard des traitements opérés à cette date, qu’ils soient opérés de longue date ou plus récemment.

Au regard des traitements réalisés en qualité de responsable de traitement

38. Les informations suivantes devront être disponibles relativement aux traitements réalisés en qualité de responsable de traitement (article 30.1. du RGPD). (...) Le Registre des activités de traitement est, comme son nom l’indique, un Registre de traitements et non pas un Registre contenant les données traitées.

  • QUI ? Le nom et les coordonnées du responsable de traitement et le cas échéant du responsable conjoint17 du traitement, du représentant du responsable de traitement et du délégué à la protection des données (art. 30.1.a) du RGPD) : S’agissant du délégué à la protection des données, la mention de son nom et de ses coordonnées dans le Registre ne dispense pas de la notification de ces mêmes coordonnées à l’autorité de protection des données (art. 37.7. du RGPD)
  • POURQUOI ? Les finalités du traitement (art. 30.1. b) du RGPD) ;
    • La finalité doit être identifiée par traitement.

La notion de traitement est très large et englobe, comme défini à l’article 4(2) du RGPD, toute une série d’opérations allant de la collecte, à la consultation, la diffusion, l’interconnexion ou encore à l’enregistrement et à la destruction. ...

    • La finalité doit être énoncée clairement et avec précision : comme évoqué ci-dessus au point 32, la liste des finalités établie dans la notice explicative de la déclaration préalable de traitement peut être utile.

A titre d’exemples, citons au titre de finalités générales : l’administration du personnel et des intermédiaires, l’administration des salaires, le contrôle sur le lieu de travail, la gestion de la clientèle, la gestion des fournisseurs etc. La notice énonce aussi un certain nombre de finalités plus spécifiquement liées à un secteur d’activité déterminé tel que la fonction publique, l’enseignement, la santé, le secteur bancaire, le commerce, la recherche scientifique, etc. (voy. annexe 1). La CPVP recommande que, comme dans la notice explicative de la déclaration préalable de traitement, la formulation générale de la finalité soit complétée par un descriptif plus précis.

A titre d’exemple (extrait de la notice explicative de la déclaration préalable de traitement) :

Contrôle sur le lieu de travail Le contrôle de l’activité professionnelle sur le lieu de travail à l’aide de caméras ou de systèmes informatiques
  • QUOI ? Une description des catégories de personnes concernées et des catégories de données personnelles traitées, au regard de chacune des finalités identifiées (art. 30.1. c) du RGPD) ;
    • Les personnes concernées sont les personnes physiques identifiées ou identifiables dont on traite les données (art. 4 (1) du RGPD). La notice explicative de la déclaration préalable de traitement ne propose pas de liste de personnes concernées, cette information ne devant pas figurer dans la déclaration. L’on pense aux employés, aux clients, aux fournisseurs, aux prestataires externes mais aussi aux mineurs d’âge dès lors que le RGPD contient des règles spécifiques à leur égard (voy. en particulier l’article 8 du RGPD). Conçu comme un outil de l’accountability, il pourra être utile que le Registre contienne cette information pour alerter le responsable de traitement sur la mise en place des mesures de conformité qui s’imposent.
    • Quant aux catégories de données, il doit bien sûr s’agir de données à caractère personnel telles que définies à l’article 4 (1) du RGPD. Ici aussi la liste des catégories de données établie dans la notice explicative de la déclaration préalable de traitement peut être utile. A titre d’exemples, citons : les données d’identification (dont le numéro de registre national), les données financières, les habitudes de consommation, les données relatives aux études et à l’emploi, les données relatives aux convictions politiques, les enregistrements d’images et de sons etc. (annexe 1).

La CPVP recommande d’identifier quelles sont les données traitées qui sont des données sensibles au sens des articles 9 et 10 du RGPD. En effet, un certain nombre de règles spécifiques s’appliquent à ces catégories particulières de données et comme mentionné ci-dessus au regard de la catégorie de personnes concernées que constituent les mineurs, cette information sera utilement précisée dans le Registre, conçu comme le point de départ de la mise en conformité avec le RGPD dans l’ensemble de ses obligations.

  • OU (les données sont – elles localisées, transférées) ? Les catégories de destinataires auxquels les données ont été ou seront communiquées, y compris les destinataires dans des pays tiers à l’Union européenne ou des organisations internationales, au regard de chacune des finalités identifiée (art.30.1. d) du RGPD) ;
    • La notion de destinataires est définie à l’article 4 (9) du RGPD dans les termes suivants : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel qu’il s’agisse ou non d’un tiers.

Sont donc visés, tant d’éventuels destinataires internes qu’externes (tels les sous- traitants ou des tiers), établis dans l’Union européenne ou hors de celle-ci. A titre d’exemples, la notice explicative de la déclaration préalable de traitement mentionne : les relations personnelles de la personne concernée, les employeurs, d’autres services ou entreprises du responsable de traitement, la sécurité sociale, la police et la justice, les courtiers en données à caractère personnel ou en marketing direct etc. (annexe 1).

L’obligation de tenir un Registre des traitements est une obligation dynamique, en ce sens que le responsable de traitement et le sous-traitant veilleront à le tenir à jour (voy. infra point 50) en ajoutant par exemple tout nouveau destinataire qu’il n’auraient pas pu envisager lors de la rédaction originelle du Registre (ex : inspection fiscale, nouveau partenaire commercial…).

    • Le cas échéant les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas de transferts visés à l’article 49.1. alinéa 2, les documents attestant de l’existence de garanties appropriées, et ce, au regard de chacune des finalités identifiées (art. 30.1. e) du RGPD) ;
      • « Pays tiers » signifie un Etat non membre de l’Union européenne et de l’Espace Economique Européen (EEE) ;
      • Quant à l’article 49.2. du RGPD, il exige qu’ en l’absence de décision d’adéquation, en l’absence de garanties appropriées telles que les règles d’entreprises contraignantes (BCR), en l’absence de situations dans lesquelles les exceptions telles que le consentement ou encore le contrat par exemple trouvent à s’appliquer (art. 49 § 1), des garanties appropriées entourent le transfert de données nécessaires aux fins des intérêts légitimes impérieux poursuivi par le responsable de traitement lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée.

Il s’agit d’une hypothèse (intérêt légitime impérieux) dans laquelle des flux de données vers un pays tiers sont autorisés qui est tout à fait subsidiaire, de dernier recours. Cette disposition ne doit être utilisée comme fondement au transfert qu’à titre tout à fait exceptionnel et de strictes garanties doivent entourer ces transferts, garanties prévues par exemple dans un contrat à répertorier dans le Registre.

  • JUSQU’À QUAND (les données sont-elles conservées) ?

Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données (art.30.1. f) du RGPD) ;

    • Cet élément d’information rejoint le principe selon lequel les données ne peuvent être conservées sous une forme permettant l’identification des personnes que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Par durée de conservation, il ne faut pas nécessairement comprendre une durée en jours, mois, années, soit une évaluation quantitative. La durée de conservation peut également faire référence à des paramètres tels que le temps nécessaire à la réalisation de la finalité concrète poursuivie ainsi qu’à la gestion du contentieux éventuel y relatif, l’expiration d’un délai de prescription, une durée d’archivage légal après la fin du traitement etc.
  • COMMENT (les données sont-elles sécurisées) ?

Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32.1. du RGPD (art. 30.1. g) du RGPD) ;

    • L’article 32.1. du RGPD requiert que le responsable de traitement et le sous- traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque21.

Au regard des traitements réalisés en qualité de sous-traitant

39. Les éléments que devra contenir ce Registre au regard de ces traitements réalisés en qualité de sous-traitant sont un peu différents de ceux qui doivent figurer dans le Registre au regard des traitements réalisés en qualité de responsable de traitement.

40. Seuls des éléments directement pertinents pour l’activité de sous-traitance sont listés à l’article 30.2. du RGPD :

a. En toute logique, c’est l’identité du sous-traitant, et, le cas échéant, de son représentant et de son délégué à la protection des données, qui doivent figurer dans le Registre ainsi que celle de chaque responsable de traitement pour le compte duquel le sous-traitant agit (art. 30.2. a) du RGPD).

b. Les finalités ne sont pas listées au titre d’élément d’information devant figurer dans le Registre. Par contre, les catégories de traitements opérés par le sous-traitant pour le compte de chaque responsable de traitement devront y figurer (art. 30.2. b) du RGPD). Dès lors que le traitement est identifié au départ de sa finalité ( voy. supra), de facto la finalité sera énoncée. Le sous-traitant , s’il ne la détermine pas, n’en est pas moins tenu de la respecter telle qu’elle est décrite dans le contrat de sous-traitance que le lie au responsable de traitement (art. 28. 3 du RGPD)

c. S’y ajouteront les transferts de données à l’étranger (dans les mêmes termes que pour le responsable de traitement) (art. 30.2.c) du RGPD).

d. Et, dans la mesure du possible une description générale des mesures techniques et organisationnelles de sécurité visées à l’article 32.1. du RGPD (art. 30.2. d)).

Le Registre peut-il contenir des éléments d’information complémentaires ?

41. Rien ne s’oppose à ce que le Registre contienne davantage d’informations. Comme déjà mentionné, ce Registre contiendra utilement des informations additionnelles qui permettront aux responsables de traitement et sous-traitants d’identifier une série de mesures à prendre pour se conformer, en fonction de leur activité de traitements de données, à l’ensemble des obligations qui découlent du RGPD.

...Toutefois ces éléments pourront s’avérer utile à répertorier, tout particulièrement la dénomination du traitement – à ne pas nécessairement confondre avec sa finalité - pour la lisibilité du Registre ainsi que les éléments liés à l’exercice des droits des personnes concernées (articles 12, 13 et 14 du RGPD).

    • D’autres éléments sont également, compte tenu des conséquences qui y sont liées en application du RGPD, à envisager :
      • La mention de la base légale du traitement : en cas de consentement, le responsable doit démontrer qu’il a obtenu celui-ci (art. 7.1. du RGPD) ; en cas de traitement fondé sur l’intérêt légitime, l’information donnée à la personne concernée doit préciser quel est cet intérêt légitime (art. 13.1. d) et art. 14.2. b) du RGPD) etc.
      • S’il s’agit de traitements qui imposent de procéder à une analyse d’impact relative à la protection des données (art. 35 du RGPD)
      • Le relevé de toutes les violations de données à caractère personnel tel que requis par l’article 33.5. du RGPD. Cette documentation doit, elle aussi, permettre à l’autorité de contrôle de vérifier le respect de l’article 33 (notification des violations de données (data breach)). Quelle soit disponible dans le Registre visé par l’article 30 du RGPD ou ailleurs importe peu du moment que l’information est disponible pour l’autorité de contrôle.

43. Il appartiendra à chaque responsable de traitement et sous-traitant de déterminer quels éléments d’information complémentaires il souhaite, le cas échéant, ajouter dans le Registre. Ces éléments devront, le cas échéant, également être communiqués à l’autorité de contrôle à première demande. De manière générale, cette dernière peut, en toute hypothèse, outre le Registre, demander accès à toute information utile dans le cadre de l’exercice de ses missions (art. 58 du RGPD)

 d. Comment établir le Registre ?

Préparé par qui ?

44. Il est recommandé d’associer à l’établissement du Registre l’ensemble des personnes des services opérationnels concernés pouvant fournir toutes les informations précises qu’il doit contenir relativement aux traitements ainsi que le délégué à la protection des données, compte tenu des tâches qui lui sont dévolues (articles 37 à 39 du RGPD).23

Un registre écrit et électronique

45. Ce registre doit être fait par écrit, en ce compris de manière électronique (art. 30.3. du RGPD).

Un registre lisible, compréhensible

46. La consultation du Registre doit pouvoir permettre à l’autorité de contrôle de se rendre compte des traitements opérés et des informations relatives à ces traitements. Le langage utilisé doit être clair et accessible et le Registre lisible pour l’autorité.

Flexibilité quant au canevas et au support

47. Compte tenu de la variété des situations, il n’existe pas de canevas-type unique du Registre.

...

49. Souvent, une même entité cumulera les casquettes de responsable de traitement et de sous- traitant. Imaginons par exemple une société réalisant essentiellement une activité de sous- traitance de données personnelles : les données relatives à son personnel n’en seront pas moins traitées par elle en qualité de responsable de traitement.

Plusieurs configurations sont envisageables et, de l’avis de la CPVP, une flexibilité certaine doit être laissée aux responsables de traitement et sous-traitants à cet égard. En cas de cumul des casquettes de responsable de traitement et de sous-traitant, deux volets distincts pourraient être prévus dans le Registre : l’un pour les traitements opérés en qualité de responsable de traitement, l’autre pour les traitements opérés en qualité de sous-traitant.

L’on peut aussi imaginer un Registre qui, au regard de chaque traitement identifié par sa finalité de traitement, mentionne si ce traitement est opéré en qualité de responsable de traitement ou de sous-traitant etc.

Mise à jour constante

50. Le Registre est par ailleurs un outil vivant, amené à évoluer en fonction du développement des activités de l’entreprise ou de l’autorité, de l’organisme concerné, en particulier dans ses activités de sous-traitance mais aussi dans le cas d’un responsable de traitement. Il doit constamment être tenu à jour.

51. Quant au délai de conservation des informations contenues dans le Registre une fois que le traitement a cessé, le RGPD ne précise rien.

De l’avis de la CPVP, il peut être utile pour les responsables de traitement et les sous-traitants de conserver cette information – avec mention de ce que le traitement a été opéré de telle à telle date par exemple – à des fins d’accountability.

En effet, l’autorité de contrôle est susceptible de demander accès à ce Registre dans le cadre de contrôles qu’elle peut mener (après la cessation du traitement) dans le respect des délais de prescription des actions qui lui seront applicables.24

Langue

52. Ce Registre interne ne doit pas être rédigé obligatoirement dans l’une ou l’autre langue nationale. Une entreprise multinationale établie en Belgique qui travaille exclusivement en anglais pourrait vouloir établir son Registre en anglais. Lors de sa mise à disposition de l’autorité de contrôle, cette dernière pourra toutefois exiger une traduction dans l’une des langues nationales aux frais du responsable de traitement ou du sous-traitant.

 e. A qui est-il destiné ? Qui peut le consulter ?

53. Comme déjà mentionné, ce Registre est d’abord un outil destiné à aider les responsables de traitement et les sous-traitants à se conformer au RGPD en visualisant les différents traitements de données qu’ils réalisent et leurs caractéristiques principales.

Aux termes du RGPD, ce registre n’est PAS destiné au public. Il pourra cependant être utile tant au responsable de traitement qu’au délégué à la protection des données interrogés par des personnes concernées dans le contexte de l’exercice de leurs droits.

54. Il devra être mis à la disposition de l’autorité de protection des données à la première demande de celle-ci. A cet égard, l’article 31 du RGPD exige du responsable de traitement et du sous-traitant une pleine coopération avec l’autorité de contrôle.

55. Le cas échéant, un accès à ce Registre pourrait être accordé en application de la règlementation relative à la publicité de l’administration et ce, dans les limites de celle-ci.

...

 Télécharger le registre


https://www.huntonprivacyblog.com/w...

PDF - 333.8 ko