La mise en place du registre des activités de traitement: outil central de la conformité RGPD et bonnes pratiques pour les PME et ETI
Aux termes du règlement (UE) 2016/679 du 27 avril 2016 dit RGPD, l’article 30 impose à chaque responsable de traitement de tenir un registre des activités de traitement effectuées sous sa responsabilité et à chaque sous‑traitant de tenir un registre des activités de traitement qu’il effectue pour le compte de responsables.
Cette obligation est par ailleurs reprise et confirmée en droit interne, avec la loi n° 78‑17 du 6 janvier 1978 modifiée, article 57, alinéa 2, qui renvoie à cette exigence de mise en place d’un tel registre.
Le registre des activités de traitement est un outil de méthodologie, central dans la mise en place d’un programme de conformité RGPD. Il remplace l’ancien mécanisme de déclarations préalables auprès de l’autorité de contrôle.
La mise en place d’un tel registre a pour effet (i) d’assurer la cartographie interne de l’intégralité des traitements de données à caractère personnel et (ii) de permettre au responsable et au sous‑traitant de démontrer leur conformité au RGPD, dans la logique du principe d’accountability, en vertu de l’article 24 du RGPD.
Le registre des activités de traitement matérialise ainsi la capacité d’une organisation à démontrer sa conformité et à piloter la gouvernance des données. Son intérêt est aussi opérationnel : il sert de socle à la cartographie, à l’analyse des bases légales (art. 6 du RGPD), des finalités (art. 5(1)(b) du RGPD), de la minimisation (art. 5(1)(c) du RGPD), des durées de conservation (art. 5(1)(e) du RGPD), et à l’évaluation des risques.
Aux termes de l’article 30 (5) du RGPD, l’obligation de mise en place d’un registre ne s’applique pas, en principe, aux entreprises ou organisations comptant moins de 250 employés.
Toutefois, cette exception est souvent mal comprise.
En effet, l’article 30(5) du RGPD n’exonère que de manière limitée la mise en place d’un registre des activités de traitement.
Le registre reste requis dès lors que les traitements ne sont pas occasionnels, peuvent comporter un risque pour les droits et libertés, ou portent sur des données, de sorte qu’en pratique, une PME a presque toujours des traitements « non occasionnels » (RH, facturation, CRM, support, sécurité IT). En conséquence, un registre est nécessairement requis.
Le RGPD article 30 (3) et (4) exige que (i) le registre soit tenu sous une forme écrite et (ii) soit mis à la disposition de l’autorité de contrôle à sa demande.
Sur le plan contenu, le registre doit lister notamment : les finalités, les catégories de personnes et de données faisant l’objet du traitement, les catégories de destinataires, les éventuels transferts hors UE, les durées de conservation, et une description des mesures de sécurité (art. 30(1) et 30(2) du RGPD). Il alimente directement l’article 32 du RGPD et sert de point d’entrée afin de décider si une AIPD est nécessaire (art. 35 du RGPD) et, pour organiser la gestion des droits (information art. 13 et 14 du RGPD, demandes art. 15 à 22 du RGPD).
Bonnes pratiques et recommandations pour les PME et ETI : maintenir un registre versionné, relié aux contrats sous-traitants (art. 28 du RGPD), aux procédures d’incident (art. 33/34 du RGPD), et aux preuves (politiques, clauses, paramétrages). Le registre ne doit pas constituer un simple fichier administratif mais bien un instrument de pilotage de nature à réduire le risque et à faciliter l’intégration de la conformité dans les projets en vertu du principe de Privacy by design (art. 25 du RGPD).