La CNIL publie son registre RGPD

02 décembre 2019

Comme tout responsable de traitements de données personnelles, la CNIL tient un registre détaillant ses activités de traitement. Dans un souci de transparence et de pédagogie, elle rend ce registre public en l’accompagnant d’explications.

Registre simplifié

A quoi sert le registre des activités de traitement ?

Le registre des activités de traitement est prévu par l’article 30 du RGPD. Il constitue un élément essentiel de la documentation nécessaire au pilotage et à la démonstration de sa conformité au RGPD.

Son élaboration permet au délégué à la protection des données ou au référent sur ces questions au sein d’un organisme public ou privé :

  • de recenser les traitements de données personnelles mis en œuvre sous la responsabilité de cet organisme ;
  • de se poser les bonnes questions, avec les différents métiers de l’organisme, sur les objectifs des fichiers mis en place, la minimisation des données recueillies, leur sensibilité, leurs conditions de conservation, leurs destinataires, et d’évaluer les risques ;
  • de rassembler les informations nécessaires à l’information des personnes identifiées dans les traitements de données de l’organisme ;
  • de définir un plan d’action « conformité RGPD ».

Que contient le registre de la CNIL ?

Le registre recense l’ensemble des traitements mis en œuvre par la CNIL. Il intègre :

  • l’identification de la présidente de la CNIL et du délégué à la protection des données (page 1);
  • la désignation (liste) des activités de traitement, telles que la gestion des demandes de conseil, la gestion des plaintes ou encore la gestion de la lettre d’information de la CNIL (pages 2 et 3) ;
  • une fiche de registre par activité de traitement, soit 54 fiches (pages 4 et suivantes).

Chaque fiche comporte les informations obligatoires prévues par l’article 30 du RGPD :

  • la désignation de l’activité de traitement ;
  • l’identification du responsable de traitement (la CNIL), ses coordonnées et celles de son délégué à la protection des données (DPD/DPO) ;
  • les finalités (objectifs du traitement de données) ;
  • les catégories de personnes concernées (acteurs internes ou externes, professionnels ou particuliers) ;
  • les catégories de données traitées (comme l’identité, les coordonnées, les informations de connexion ou les données sensibles) ;
  • les catégories de destinataires des données (services de la CNIL, tiers) ;
  • l’existence de transferts de données en dehors de l’Union européenne ;
  • dans la mesure du possible, la durée de conservation des données ;
  • une description générale des mesures de sécurité prises.

En complément, la CNIL a souhaité intégrer dans son registre, bien que cela ne soit pas rendu obligatoire par l’article 30 du RGPD, des informations utiles au pilotage des traitements sous sa responsabilité et à l’information des personnes concernées.

Ces informations complémentaires sont visées par les articles 13, 14 et 15 du RGPD :

  • la ou les base(s) légale(s) (ou base juridique) du traitement ;
  • la source des données ;
  • le caractère obligatoire ou facultatif du recueil des données et les conséquences en cas de non-fourniture des données ;
  • l’existence d’une prise de décision automatisée ;
  • les droits RGPD des personnes sur le traitement concerné et les moyens de les exercer auprès du délégué à la protection des données (en ligne ou par courrier) ;
  • le droit à un recours auprès de la CNIL.

Sont ainsi réunis, au sein d’un document unique, l’ensemble des éléments utiles à l’information des personnes concernées par les traitements qu’elle met en œuvre. Ces éléments sont en effet repris pour les mentions RGPD portées au niveau des téléservices ou en interne (gestion des ressources humaines, gestion des fournitures, gestion du support informatique, etc.).

En résumé, le registre de la CNIL lui permet, au-delà du contenu obligatoire prévu par l’article 30 du RGPD, de disposer d’un outil de pilotage de ses activités de traitement. Il s’inscrit également dans une démarche pédagogique à l’attention des responsables de traitement pour faciliter l’interprétation de certaines notions du RGPD en donnant des exemples concrets (par exemple sur les bases légales).

Consulter le registre de la CNIL.

Le registre de la CNIL est publié dans un objectif de transparence et de pédagogie. Il n’est pas prescriptif, et va au-delà du minimum exigé par les textes. Par ailleurs, selon l’activité de votre propre organisme, le registre ne comprendra pas les mêmes éléments.

Le format peut également changer (fichier texte, tableur, pdf, application dédiée, etc.).

Comme pour tout responsable de traitements, la tenue du registre de la CNIL s'inscrit dans une démarche de revue dynamique. Le document publié peut donc être mis à jour régulièrement.

Lire la fiche dédiée « le registre des activités de traitement » (explications détaillées et modèle).

Les mots clés associés à cet article