RGPD – Le registre des activités de traitement, un outil nouveau imposé par le RGPD

Inconnu avant le RGPD[1], le registre des activités de traitement est devenu incontournable depuis le 25 mai 2018, date de mise en application de ce règlement. Les pouvoirs publics locaux se mobilisent depuis plus d’une année afin de se mettre en conformité avec cette réglementation relative à la protection de la vie privée et le registre des activités de traitement est une étape-clé.

Nous nous souviendrons qu’à la fin de l’année 2017, notre association avait lancé un projet pilote de centrale d’achat[2] visant à la mise en conformité au RGPD. Plusieurs membres de notre association ont pu bénéficier et continuent de bénéficier des services de la société Mielabelo, adjudicataire de l’accord-cadre. C’est aussi dans le cadre de cette collaboration que nous avons publié différents modèles de documents indispensables pour se mettre en conformité avec le RGPD[3]. Un exemple de registre des activités de traitement pour les communes est désormais disponible auprès du conseiller en charge du projet (Marie-Laure Van Rillaer, marie-laure.vanrillaer@uvcw.be, 081/240.673). Par ailleurs, une liste exemplative de flux de données/des missions communales est désormais aussi à disposition des membres de notre association sur son site internet[4].

Le présent article est lui l’occasion de faire le point sur une des nouveautés du RGPD qu’est le registre des activités de traitement[5]. Notre association rappelle qu’elle organise des formations articulées autour de cette réglementation et adaptées aux besoins des pouvoirs locaux wallons et spécifiquement une formation pratique d’une journée sur ce registre des activités de traitement[6].

 

Qu’est-ce que le registre des activités de traitement ? A quoi sert-il ?

Le registre des activités de traitement n’est pas défini dans le RGPD. Une seule disposition traite de ce registre, l’article 30 du RGPD[7] qui le décrit par rapport à son contenu et par rapport aux personnes qui sont contraintes de le tenir, c’est-à-dire de l’établir et de le mettre à jour. Ne sont donc pas précisés ni l’utilité, ni les objectifs, ni encore la forme de ce registre.

Il apparait toutefois clair qu’il est, comme l’analyse d’impact, un outil participant au respect du principe de responsabilité déposé à l’article 5, paragraphe 2 du RGPD et donc au respect global du RGPD[8].

Comment protéger et traiter correctement les données à caractère personnel si l’on n’a pas de vue globale sur les traitements opérés, les données traitées, les raisons de ces traitements et les destinataires éventuels de ces données ?

Ce registre n’a donc pour visée que d’avoir une vue globale des traitements opérés au sein d’une entité. C’est une cartographie des traitements permettant de justifier que l’on respecte la vie privée des personnes concernées dont on (sous-)traite les données.

Il est par ailleurs utile en cas de plainte auprès de l’APD ou de contrôle par celle-ci et même en cas de violation de données[9] ou d’exercice par les personnes concernées de leurs droits[10].

 

Existe-il un modèle ?

Oui. Il en existe même plusieurs. L’Autorité de Protection des Données (ci-après APD), l’une des autorités compétentes pour veiller en Belgique au respect de la réglementation relative à la protection de la vie privée, a établi un modèle de registre disponible sur son site internet[11]. La Commission Nationale de l’Informatique et des Libertés, ou CNIL, son équivalent français, en a aussi élaboré un. L’APD, alors appelée Commission de la Protection de la Vie privée, a aussi publié une recommandation relative à ce registre[13]. Tout lecteur intéressé consultera utilement ces trois documents.

L’utilisation du modèle de l’APD n’est pas obligatoire car chaque responsable de traitement organise le respect du RGPD comme il l’estime utile ou adapté.

Ces modèles ne sont en réalité que des canevas à remplir. Au vu de ce que chaque registre doit contenir, il n’est pas possible d’éditer un modèle qui conviendrait à tous. Le remplissage de chaque registre est un travail propre à mener au sein de chaque responsable de traitement. Il est aussi l’occasion nécessaire d’effectuer une sensibilisation en interne.

 

Les pouvoirs locaux doivent-ils tenir un registre des activités de traitement ?

Oui. L’article 30, paragraphe 1^er du RGPD impose à chaque responsable de traitement et à chaque sous-traitant de tenir un registre des activités de traitement dont le contenu varie en fonction du statut de responsable de traitement ou de sous-traitant. Le paragraphe 5 de l’article 30 du RGPD prévoit certes une exception mais celle-ci est tellement limitée qu’elle ne sera généralement pas applicable aux pouvoirs locaux wallons. L’obligation, pour le responsable de traitement ou pour le sous-traitant, de tenir un registre ne s’applique en effet pas si l’entité compte moins de 250 employés sauf si le traitement est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données[14]. Les pouvoirs locaux traitant de nombreuses données, dont des données dites « particulières », de manière non occasionnelle, et ces traitements comportant presque toujours un risque pour les droits et libertés des personnes concernées, ils ne peuvent bénéficier de l’exception.

Dans sa recommandation, l’APD conseille donc fort logiquement à tous les responsables de traitement et à tous les sous-traitants de tenir un tel registre. Elle dit, et c’est intéressant, que pour les PME qui peuvent bénéficier de l’exception, qu’elle n’est pas « opposée à ce que le Registre se limite aux traitements non occasionnels » et que « les traitements occasionnels ne devraient donc pas y figurer »[15].

 

Que doit contenir le registre des activités de traitement ?

L’article 30 du RGPD distingue deux situations et deux contenus de registre: celle du responsable de traitement et celle du sous-traitant.

En ce qui concerne le registre tenu par les responsables de traitement, le premier paragraphe de cette disposition prévoit le contenu minimal suivant :

a)    le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement et du délégué à la protection des données ;

b)    les finalités du traitement ;

c)    une description des catégories de personnes concernées et des catégories de données à caractère personnel ;

d)    les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;

e)    le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ;

f)     dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ;

g)    dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1^er du RGPD.

 

De manière synthétique, le contenu minimal du registre des activités de traitement peut être résumé comme suit :

QUI ?	Quel(s) responsable(s) de traitement (conjoint(s)) ? Quel(s) sous-traitant(s) ? Quel(s) DPO ?
Pourquoi ?	Quelle(s) finalité(s) ?
Quoi ?	Quelle(s) catégorie(s) de données ? Quelle(s) catégorie(s) de personnes concernées ?
A qui ?	Quel(s) est/sont le(s) destinataire(s) interne(s) ou externe(s) ?
Où ?	Où sont stockées ou transférées les données ?
Jusqu’à quand ?	Quelle est la durée de conservation ?
Comment ?	Comment les données sont-elles protégées ?

 

Le registre des activités de traitement n’est donc pas un registre reprenant toutes les données à caractère personnel du responsable de traitement. C’est un registre reprenant de manière globale les activités de traitement.

De manière plus précise, l’on peut encore préciser ceci[16] :

• catégories de personnes concernées : on peut identifier au niveau des pouvoirs locaux les employés, les citoyens, les mandataires, les mineurs d’âge, les adjudicataires, etc. ;
• catégories de données : données d’identification, données financières, données relatives aux études et à l’emploi, données de nature politique, données d’enregistrements d’images et de sons[17], données « sensibles » ;
• destinataires : ils sont définis à l’article 4, 9) du RGPD : « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers » ; cela vise donc tant les destinataires internes (les différents services concernés du responsable de traitement) qu’externes (les sous-traitants ou d’autres responsables de traitement) ;
• délais de conservation des données : la recommandation de l’APD précise qu’: « il ne faut pas nécessairement comprendre une durée en jours, mois, années, soit une évaluation quantitative. La durée de conservation peut également faire référence à des paramètres tels que le temps nécessaire à la réalisation de la finalité concrète poursuivie ainsi qu’à la gestion du contentieux éventuel y relatif, l’expiration d’un délai de prescription, une durée d’archivage légal après la fin du traitement »[18] ;
• mesures de protection : pour plus de précisions, l’on peut renvoyer utilement vers l’article 32 du RGPD qui présente quelques mesures ainsi que vers un document édité par l’APD[19].

 

A quel niveau de détail doit-on tenir le registre des activités de traitement ?

Le RGPD n’en dit mot ! L’outil doit rester manipulable, compréhensible et lisible. Il paraît conseillé de commencer non par les traitements ou les opérations de traitement eux-mêmes mais bien par (domaine d’) activité(s), puis de creuser par finalité globale voire finalité plus précise et enfin de détailler le cas échéant jusqu’aux opérations de traitements. Une liste non exhaustive de flux de données/de missions propres aux communes est désormais à disposition de nos membres sur l’espace « Modèles » de la rubrique « RGPD » de notre site. Cette liste constitue une aide permettant de passer en revue les nombreuses missions communales.

L’on notera que l’APD recommande que « la formulation générale de la finalité soit complétée par un descriptif plus précis »[20]. Le modèle de registre confectionné par la CPVP (et repris dans l’exemple de registre des activités de traitement que nous mettons à disposition de nos membres) contient une liste exemplative de finalités, que l’on pourrait qualifier de générales[21].

A ce stade, nous disposons donc de (trop) peu d’informations sur le degré de précision d’une fiche de traitement ou d’une ligne de traitement.

 

Le registre peut-il contenir d’autres informations ?

Oui. Et c’est même conseillé pour s’assurer du respect du RGPD et du principe de responsabilité évoqué précédemment.

Pour les autorités publiques locales, l’on recommandera certainement d’y indiquer la base de licéité de traitement ainsi que les références normatives permettant le traitement. Lorsque le RGPD est applicable[22], les bases de licéité de traitement sont logées aux articles 6 pour les données « ordinaires » et 9 et 10 pour les données « particulières ». Les autorités publiques traitent des données essentiellement parce qu’elles en ont l’obligation ou parce qu’elles exercent une mission d’intérêt public, la distinction entre les deux bases de licéité n’étant toutefois pas facile. Cette licéité du traitement provient donc d’une ou de plusieurs normes qu’il est pertinent de noter dans le registre des activités de traitement.

Il pourrait aussi être intéressant de dédoubler la colonne « catégorie de données » en distinguant les données particulières et celles « ordinaires » car les premières peuvent se voir attribuer des mesures de protection distinctes, des bases de licéité différentes ou des fondements légaux autres.

De même, il peut être intéressant d’avoir une colonne « dénomination » du traitement ou de l’activité de traitement[23].

Il est aussi envisageable mais non obligatoire de prévoir une colonne distincte relative au(x) support(s) (physique(s) ou informatique(s)), aux garanties de communication aux tiers, aux moyens de transparence mis en œuvre, aux éventuelles violations de données, aux mesures prises pour permettre l’exercice des droits des personnes concernées (procédure, service responsable de la demande, etc.) et aux analyses d’impact le cas échéant menées.

 

Par ailleurs, il apparaît indiqué d’y mentionner le service traitant les données avec le cas échéant un responsable opérationnel si la taille de la commune le justifie.

L’on pourrait aussi envisager d’indiquer dans le registre des activités de traitement la date de début et de fin des activités de traitement[24].

Enfin, une date de mise à jour du document apparaît indispensable.

 

Qui doit tenir le registre des activités de traitement ?

Le responsable de traitement et non le délégué à la protection des données à proprement parler. Il appartient au responsable de traitement de respecter, de démontrer le respect du RGPD et donc de tenir le registre des activités de traitement[25]. L’établissement et la tenue du registre n’entrent pas formellement dans les missions du délégué, décrites à l’article 39 du RGPD. Toutefois, pratiquement, il y participera et apportera à la fois son expertise et son aide puisqu’il lui revient les missions d’informer et de conseiller le responsable de traitement quant aux obligations du RGPD[26].

Vu le caractère transversal d’un tel outil et la nécessité de le tenir constamment à jour, il est recommandé de mettre sur pied une équipe transversale afin que tous les services communaux puissent y concourir, selon les modalités les plus appropriées à chaque commune.

 

Sous quelle forme doit être tenu le registre des activités de traitement ?

A nouveau, le RGPD n’en dit mot ! Il doit être tenu par écrit, de préférence de manière électronique pour une question de lisibilité et de facilité de mise à jour. Des outils ont été développés sur le marché avec plus ou moins de satisfaction mais surtout avec un certain coût. Un tableur peut tout à fait convenir. Plusieurs fichiers réunis au même endroit peuvent convenir, à tout le moins si la clarté du registre est préservée.

 

Faut-il tenir qu’un seul registre ?

Le RGPD impose de tenir un registre des activités de traitement si l’on est responsable de traitement mais aussi si l’on est sous-traitant. Le contenu diffère toutefois. Il n’est pas interdit de tenir un seul registre pour les deux casquettes pour autant que le statut de responsable de traitement ou de sous-traitant soit clairement identifié.

De même, la loi du 30 juillet 2018[27], dans sa partie transposant la directive « Police/justice »[28], impose la tenue d’un registre des activités de traitement. La loi « caméra de surveillance » en prévoit un aussi[29]. L’APD accepte qu’il n’y ait qu’un seul registre.

 

Combien de temps doit être tenu le registre des activités de traitement ?

Le registre doit contenir les activités de traitement existant à la date du 25 mai 2018 ou créées depuis cette date.

Cet outil doit faire l’objet d’une mise à jour régulière afin de refléter les activités de traitement effectivement menées par le responsable de traitement, toujours dans le respect du principe de responsabilité du responsable de traitement.

Le registre doit continuer à contenir les (activités de) traitements même si elles/ils ont cessé et ce, pour des raisons de démonstration de la preuve du respect du RGPD. En effet, le délai de prescription de l’action de l’APD est de 5 ans[30].

 

Dans quelle langue doit être tenu le registre des activités de traitement ?

Aucune précision n’étant faite dans la loi du 30 juillet 2018 (ni dans le RGPD), il nous semble que le droit administratif commun s’applique et en l’occurrence que les règles issues de la loi du 18 juillet 1966[31] soient d’application.

 

A qui est accessible ce registre ?

Le registre des activités de traitement doit être conçu a priori comme un outil interne de contrôle. Il n’est donc, d’après l’APD, « pas destiné aux personnes concernées ni au public en général »[32].

Toutefois, en vertu des garanties constitutionnelle[33], légale[34] et décrétale[35] applicables aux pouvoirs locaux, il n’est pas impossible qu’un citoyen par exemple sollicite le registre des activités de traitement qui constitue un document administratif. Une communication de ce registre à l’administré pourrait s’imposer à l’administration, ou le cas échéant une communication partielle en raison de l’application de certaines exceptions, en fonction du contenu du registre[36].

Par ailleurs, le registre des activités de traitement doit être mis à disposition de l’APD[37] puisqu’il est l’un des outils de responsabilisation des responsables de traitement.

Enfin, l’on pourrait aussi concevoir qu’en vertu du principe de transparence[38], certains responsables de traitement choisissent de publier sur leur site internet tout ou partie de leur registre[39].

 

Quelle(s) sanction(s) sont applicables en cas de non-tenue du registre ?

L’article 58 du RGPD détaille les pouvoirs dont l’APD est pourvue. Il s’agit notamment pour elle de pouvoir avertir et rappeler à l’ordre le responsable de traitement qui ne satisferait pas à l’obligation.

L’article 83 du RPGD détaille les modalités d’application des amendes administratives et son paragraphe 4 érige ce manquement en manquement de second degré, soit une amende administrative pouvant s’élever jusqu’à 10 millions d’euros. A l’heure d’écrire ces lignes, les autorités publiques sont toutefois partiellement exonérées des amendes administratives en vertu de l’article 221, paragraphe 2 de la loi du 30 juillet 2018[40].

Des sanctions pénales sont aussi possibles[41].

 

Renseignements : Marie-Laure Van Rillaer

 

---

[1] C’est-à-dire le règlement général de protection des données à caractère personnel, ci-après le règlement : Règlement 2016/679 du Parlement européen et du Conseil du 27.4.2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, J.O.U.E., 4.5.2016, ci-après le règlement ou le RGPD.

[2] http://www.uvcw.be/actualites/3,902,2,0,7336.htm

[3] http://www.uvcw.be/actualites/3,902,2,0,7876.htm

[4] http://www.uvcw.be/rgpd/ > modèles

[5] Le présent article s’inspire d’un webinar dispensé en janvier 2018 par Madame Valérie Verbruggen, juriste auprès de la CPVP et disponible grâce à LexAlert : https://www.lexalert.be/fr ainsi que de la recommandation éditée par la CPVP : CPVP, Recommandation n° 06/2017 du 14 juin 2017, disponible sur l’espace documentaire RGPD de l’UVCW : http://www.uvcw.be/no_index/files/343-recommandation_06_2017-registre-des-activites-de-traitement.pdf; voyez également : J.-F.  Puyraimond, « Le registre des activités de traitement dans le RGPD : un nouvel outil de gestion des actifs immatériels », Actualités en droit du numérique, 2019/2, Collection Recyclage en droit, Limal, Anthemis, 2019, p. 137 et s.

[6] http://www.uvcw.be/formations/ateliers/902

[7] Les considérants 13, 39 et 82 du RGPD apportent aussi quelques informations utiles relatives à ce registre.

[8] CPVP, Recommandation n° 06/2017 du 14.6.2017, points 21 et s.

>[9] Art. 33 et 34 du RGPD.

[10] Art. 15 à 22 du RGPD.

[11] https://www.autoriteprotectiondonnees.be/canevas-de-registre-des-activites-de-traitement

[12] https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement; pour le surplus, l’on consultera avec grand intérêt tant le site internet de la CNIL que celui de l’Information Commissioner’s Office (ICO) britannique (https://ico.org.uk/) qui regorge d’informations pratiques et qui a aussi élaboré un modèle (taper dans le moteur de recherches « records of processing activities » et cliquer sur « template »).

[13] CPVP, Recommandation n° 06/2017 du 14.6.2017.

[14] Visées aux articles 9 et 10 du RGPD.

[15] CPVP, Recommandation n° 06/2017 du 14.6.2017, point 19.

[16] V. l’annexe de la recommandation n° 06/2017 du 14.6.2017 de la CPVP.

[17] CPVP, Recommandation n° 06/2017 du 14.6.2017, point 38.

[18] CPVP, Recommandation n° 06/2017 du 14.6.2017, point 38.

[19]Pour plus d’informations, il est utile de consulter ce document de l’APD 

[20] CPVP, Recommandation n° 06/2017 du 14.6.2017, point 38.

[21] En ce sens, nous sommes rejoints par J.-F. Puyraimond : op. cit., p. 145.

[22] Nous songeons ici à l’éventuelle application du titre 2 de la loi du 30.7.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, M.B., 5.9.2018.

[23] Voy. l’annexe à la recommandation concernée : CPVP, Recommandation n° 06/2017 du 14.6.2017, annexe.

[24] Ce qui est utile pour la prise de cours du délai de prescription : cf. infra.

[25] L’article 30, par. 1^er du RGPD précise bien que chaque responsable de traitement tient un registre des activités de traitement.

[26] Art. 39, par. 1^er du RGPD.

[27] Art. 90 de la loi du 30.7.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personne, ibid.

[28] Directive (UE) 2016/680 du Parlement européen et du Conseil du 27.4.2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, J.O.U.E., 4.5.2016.

[29] Art. 5, par. 3, al. 4 de la loi du 21.3.2007 réglant l'installation et l'utilisation de caméras de surveillance, M.B., 31.5.2007 ; voy. aussi : https://www.besafe.be/fr/themes-de-securite/camera/le-registre-des-activites-de-traitement-dimages.

[30] Art. 105 de la loi du 3.12.2017 portant création de l'Autorité de protection des données.

[31] Loi du 18.7.1966 sur l'emploi des langues en matière administrative, M.B., 2.8.1966.

[32] CPVP, Recommandation n° 06/2017 du 14.6.2017, point 23.

[33] Art. 32 de la Constitution.

[34] Loi du 11.4.1994 relative à la publicité de l'administration, M.B., 30.6.1994.

[35] Art. L1561-1 et s. du CDLD pour les intercommunales et art. L3211-1 et s. du CDLD pour les communes.

[36] Art. 6, par. 1 de la loi du 11.4.1994 relative à la publicité de l'administration, M.B., 30.6.1994.

[37] Art. 30, par. 4 du RGPD : « Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'autorité de contrôle sur demande » ; le considérant 82 du RGPD précise aussi : « Afin de démontrer qu'il respecte le présent règlement, le responsable du traitement ou le sous-traitant devrait tenir des registres pour les activités de traitement relevant de sa responsabilité. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l'autorité de contrôle et de mettre ces registres à la disposition de celle-ci, sur demande, pour qu'ils servent au contrôle des opérations de traitement ».

[38] Art. 5, par. 1, a), 12, 13 et 14 du RGPD.

[39] C’est le cas de la Ville de Toulouse :

https://data.toulouse-metropole.fr/pages/registre_legal_cnil_ville_de_toulouse/

[40] Loi du 30.7.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, ibid.

[41] Art. 222 à 230 de la loi du 30.7.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, ibid.