Le registre des activités de traitement est l’élément central et obligatoire dans la mise en conformité au RGPD d’une structure. Il consiste en un document de recensement et d’analyse permettant de disposer d’une vue d’ensemble de ce qui est fait avec les données à caractère personnel.

Il constitue un outil de pilotage et de démonstration de votre conformité au RGPD. Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions :

Ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ?
Est-il pertinent de conserver toutes les données aussi longtemps ?
Les données sont-elles suffisamment protégées ?
Etc.

Le registre de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme. En pratique, une fiche de registre doit donc être établie pour chacune de ces activités. Ce registre doit comporter le nom et les coordonnées de votre organisme ainsi que, le cas échéant, de votre représentant, si votre organisme n’est pas établi dans l’Union européenne, et de votre délégué à la protection des données si vous en disposez.

En outre, pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :

1. le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre
2. les finalités du traitement, l’objectif en vue duquel vous avez collecté ces données
3. les catégories de personnes concernées (client, prospect, employé, etc.)
4. les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.)
5. les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants auxquels vous recourez
6. les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ;
7. les délais prévus pour l’effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer
8. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que vous mettez en œuvre

Principe :

La législation en matière de protection des données vise à protéger les citoyens en leur donnant des droits (accès, rectification, réclamation, portabilité…).

Il appartient aux responsables de traitement, en lien avec les Relais (RIL et référents) et le DPD de veiller au respect de ces droits.

Par qui ?

Toute personne pour laquelle vous gérez des données à caractère personnel, justifiant de son identité (administré, élu, agent).

• Celle-ci peut se faire représenter en donnant mandat à un tiers. Dans ce cas, le mandat ainsi qu’une pièce d’identité du mandaté seront nécessaires.
• Pour les mineurs et les incapables majeurs, ce sont selon les cas (sur présentation de justificatifs) les parents, le détenteur de l’autorité parentale, ou le tuteur qui effectuent la démarche.

Sans mandat, une personne ne peut pas accéder aux données de son conjoint, de son descendant majeur ou de son aïeul.

Auprès de qui ?

Auprès de la collectivité, du Syndicat mixte La Fibre64 ou directement auprès du DPD.

Dans tous les cas, les Relais (RIL ou référent) devront être immédiatement informés de la demande afin de vous accompagner dans la réponse à apporter.

Sous quelle forme ?

Par écrit :

• Lettre simple ou recommandée, courriel accompagnés d’une photocopie de la pièce d’identité du demandeur.
• Dans le cas d’une demande réalisée par un tiers : photocopie du mandat ou des documents justifiant du mandat (livret de famille pour les mineurs par exemple…), de la pièce d’identité du demandeur et de celle du mandaté.
• Un avis de réception de la demande, daté et signé, doit être envoyé par courrier ou courriel selon le mode de réception de la demande (cf. : ci-dessous)

Sur place :

• La personne doit justifier de son identité (et de son mandat si c’est le cas).
• Un avis de réception de la demande, daté et signé, doit être remis immédiatement.

Quelle réponse apporter ?

Après analyse de la demande par les Relais (RIL ou référent) et le DPD, une réponse écrite et une copie des données à caractère personnel traitées concernées par la demande sera transmise au demandeur (ou à son représentant mandaté) dans les meilleurs délais (délais maximal de 1 mois à compter de la réception de la demande).

Le projet de réponse aura préalablement fait l’objet d’une validation des Relais et du DPD.

Demande de rectification ou de suppression

Une fois avoir pris connaissance des données le concernant, le demandeur ou son représentant peuvent exprimer leur volonté de voir modifier ou supprimer certaines données.

Cette demande peut être faite par écrit ou sur place.

A réception de la demande, les Relais seront immédiatement avertis afin de vous proposer une réponse conforme à la législation en vigueur

Un administré ou un agent ne peut pas demander la suppression totale de « son existence » dans les fichiers de la collectivité ; au risque de mettre la structure en difficulté au regard de ses obligations envers les organismes sociaux et fiscaux, etc…

Principe :

La législation en matière de protection des données impose aux responsables de traitement d’informer, dans les meilleurs délais (72 h maximum), l’autorité de contrôle (CNIL) voir les personnes concernées par les traitements en cas de « violation de données ».

Il appartient aux responsables de traitement, en lien avec les Relais (RIL ou référent) et le DPD, de veiller au respect de cette obligation.

Par qui ?

Tout responsable élu ou agent, dument mandaté par la collectivité ou le service.

Quand ?

Dès constat de destruction, perte, altération, divulgation ou accès non autorisé à des données personnelles, de manière accidentelle ou illicite.

Exemples : perte/vol d’un PC, d’une clé USB, d’un disque dur externe, de dossiers, classeurs… tentative de hack, perte/vol d’une liste d’identifiants et mots de passe…

Auprès de qui et comment ?

Auprès des Relais ou auprès du DPD.

L’information doit être transmise au plus vite ! Les délais légaux de déclaration auprès de l’autorité de contrôle, si nécessaire au regard de la législation, voir l’information des personnes concernées sont très courts (24H00 à 72H00 pour la CNIL, 72H00 pour les personnes concernées).

Les Relais informeront immédiatement le DPD en transmettant l’information.

Le DPD prendra contact au plus vite avec les Relais pour analyser la situation et préconiser la conduite à tenir.

Aide :

Ce questionnaire va vous permettre de savoir dans quelle catégorie classer un organisme

Nous sommes responsable de traitement si :

☐ Nous décidons de collecter ou de traiter les données personnelles.
☐ Nous avons décidé quel était le but ou le résultat du traitement
☐ Nous décidons quelles sont les données personnelles qui doivent être collectées..
☐ Nous avons décidé quelles données personnelles devraient être collectées.
☐ Nous obtenons un gain commercial ou autre avantage du traitement, à l’exception de tout paiement pour les services d’un autre responsable de traitement.
☐ Nous traitons des données personnelles à la suite d’un contrat entre nous et la personne concernée.
☐ Les personnes concernées sont nos employés.
☐ Nous prenons des décisions concernant les personnes concernées dans le cadre ou à la suite du traitement.
☐ Nous exerçons notre jugement professionnel dans le traitement des données personnelles.
☐ Nous avons une relation directe avec les personnes concernées.
☐ Nous disposons d’une totale autonomie pour le traitement des données personnelles.
☐ Nous avons chargé les processeurs de traiter les données personnelles en notre nom.
☐ Les personnes concernées sont nos employés.
☐ Nous prenons des décisions concernant les personnes concernées dans le cadre ou à la suite du traitement.
☐ Nous exerçons notre jugement professionnel dans le traitement des données personnelles.
☐ Nous avons une relation directe avec les personnes concernées.
☐ Nous disposons d’une totale autonomie pour le traitement des données personnelles.
☐ Nous avons chargé les processeurs de traiter les données personnelles en notre nom.

Nous sommes co-responsable de traitement si :

☐ Nous avons un objectif commun avec d’autres concernant le traitement.
☐ Nous traitons les données personnelles dans le même but qu’un autre responsable de traitement
☐ Pour ce traitement, nous utilisons le même ensemble de données à caractère personnel (par exemple une base de données) qu’un autre responsable du traitement.
☐ Nous avons conçu ce processus avec un autre responsable de traitement.
☐ Nous avons des règles de gestion de l’information communes avec un autre Responsable de traitement

Nous sommes sous-traitant si :

☐ Nous suivons les instructions de quelqu’un d’autre concernant le traitement des données personnelles.
☐ Nous avons reçu les données personnelles d’un client ou d’un tiers similaire, ou nous avons indiqué quelles données collecter.
☐ Nous ne décidons pas de collecter des données personnelles auprès de particuliers.
☐ Nous ne décidons pas des données personnelles à collecter auprès des individus.
☐ Nous ne décidons pas du fondement légal pour l’utilisation de ces données.
☐ Nous ne décidons pas des fins pour lesquelles les données seront utilisées.
☐ Nous ne décidons pas de divulguer les données ou à qui.
☐ Nous ne décidons pas combien de temps conserver les données.
☐ Nous pouvons prendre des décisions sur la manière dont les données sont traitées, mais les appliquer dans le cadre d’un contrat avec quelqu’un d’autre.
☐ Nous ne sommes pas intéressés par le résultat final du traitement

La CNIL a le pouvoir d’effectuer des contrôles auprès de l’ensemble des organismes qui traitent des données à caractère personnel. Les entreprises privées, les associations ou encore les organismes publics peuvent ainsi faire l’objet d’un contrôle de la Commission.

Qui la CNIL peut-elle contrôler ?

La CNIL peut effectuer des contrôles auprès de tout organisme traitant des données à caractère personnel disposant d’un établissement en France, ou concernant des personnes résidant en France.

Le RGPD permet par ailleurs à la CNIL d’effectuer des vérifications auprès des prestataires sous-traitants, en charge de la mise en œuvre d’un traitement, pour le compte d’un organisme responsable de traitement (ex : hébergement, maintenance).

Comment la CNIL décide-t-elle de faire un contrôle ?

Les missions de contrôle effectuées durant l’année par la Commission peuvent avoir, de manière équilibrée, des origines différentes :

• Le programme annuel des contrôles : chaque année, la CNIL décide de porter son attention sur des grandes thématiques identifiées notamment en raison de leur impact sur la vie privée de nombreuses personnes. Ces thématiques sont portées à la connaissance du grand public et conduisent la CNIL, à l’issue du programme annuel, à communiquer sur les pratiques constatées lors des contrôles réalisés.
• Les réclamations et les signalements : la CNIL est destinataire de réclamations (plaintes) et de signalements (parfois anonymes) qui portent à sa connaissance des faits dont la conformité aux règles relatives à la protection des données personnelles est en question. Des contrôles sont ainsi réalisés pour vérifier ces pratiques et s’assurer, le cas échéant, du respect des droits des plaignants.
• Les initiatives : des investigations peuvent être menées dans le cadre de thématiques, identifiées notamment au regard de l’actualité, qui sont susceptibles de présenter des problématiques et des enjeux relatifs à la protection des données personnelles.
• Les dispositifs de vidéoprotection : au titre du code de la sécurité intérieure (CSI), la CNIL est compétente pour contrôler les caméras qui filment des lieux ouverts au public (ex : centre commercial, musée, etc.) et réserve chaque année une partie de son activité de contrôle à la vérification de ces dispositifs.
• Les procédures de contrôle clôturées, les mises en demeure et les sanctions : des investigations peuvent être menées à la suite d’une procédure de contrôle clôturée, d’une mise en demeure ou d’une sanction, notamment pour vérifier les mesures de mise en conformité adoptées par les organismes.

Qui réalise les missions de contrôle de la CNIL ?

L’habilitation délivrée par la Commission aux agents de ses services

• L’article 19 de la loi du 6 janvier 1978 modifiée prévoit que les agents des services de la CNIL qui sont appelés à participer à la mise en œuvre des missions de contrôle sont habilités par la Commission. Les membres de la CNIL peuvent également être désignés pour procéder à ces missions de contrôle.
• L’habilitation est accordée pour une durée de cinq ans renouvelable à condition que l’agent concerné n’ait pas fait l’objet d’une condamnation à une peine correctionnelle ou criminelle inscrite au bulletin n° 2 du casier judiciaire.
• La désignation d’un agent habilité des services de la CNIL pour procéder à une vérification auprès d’un organisme ne peut avoir lieu que si l’agent ne détient pas, ou n’a pas détenu au cours des trois années précédant cette vérification, un intérêt direct ou indirect avec cet organisme.

Les habilitations délivrées par le Premier ministre aux agents de la Commission

• Les agents qui procèdent à des vérifications portant sur des traitements de données à caractère personnel qui concernent la sûreté de l’Etat, la défense, la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, l’exécution des condamnations pénales ou des mesures de sûreté, doivent bénéficier d’une habilitation spécifique délivrée par le Premier ministre.
• De même, les agents qui sont appelés à prendre connaissance d’informations classifiées au titre de la protection du secret de défense nationale, dans le cadre des missions de contrôle, doivent y être habilités par le Premier ministre.

Que se passe-t-il avant un contrôle de la CNIL ?

• La décision de procéder à une mission de contrôle est prise par le Président de la CNIL, sur proposition des services. Lorsque le contrôle se fait sur place, la décision du Président de la CNIL est notifiée au début du contrôle au responsable des lieux où se situent le ou les traitements qui font l’objet des vérifications.
• Lorsque le contrôle se déroule sur audition, la convocation doit parvenir à la personne auditionnée au moins 8 jours avant la date du contrôle. Cette convocation rappelle notamment à la personne convoquée qu’elle est en droit de se faire assister d’un conseil de son choix.
• Dans le cadre d’un contrôle sur place, le procureur de la République territorialement compétent est informé de la date, de l’heure et de l’objet du contrôle 24 heures avant que celui-ci ne débute.
• Il peut être demandé à l’organisme visé par un contrôle de communiquer préalablement des documents (ex. : moyens informatiques utilisés, organisation générale de l’organisme contrôlé).
• Les agents de la CNIL participant aux contrôles sont habilités dans les conditions prévues à l’article 19 de la loi et par les articles 57 à 60 du décret du 20 octobre 2005 modifié. Ils peuvent être assistés d’experts, comme par exemple des médecins. Certains contrôles nécessitent des habilitations particulières, notamment pour les fichiers couverts par le secret défense.

Que se passe-t-il pendant un contrôle de la CNIL ?

• L’objet d’un contrôle est de vérifier que les traitements mis en œuvre par l’organisme sont conformes aux dispositions de la loi du 6 janvier 1978 modifiée et du RGPD. Le contrôle peut également avoir pour but de vérifier la conformité d’un dispositif de vidéoprotection, en application du CSI, ainsi que celle des traitements mis en œuvre dans le cadre de la prospection commerciale, au moyen de système automatisé de communications électroniques, en application du code des postes et des communications électroniques (CPCE).
• A l’occasion d’une mission de contrôle, les agents ont vocation à prendre copie de toute information, technique et juridique, pour apprécier les conditions dans lesquelles sont mis en œuvre les traitements de données à caractère personnel.
• La délégation de la CNIL peut demander communication de tous documents nécessaires à l’accomplissement de sa mission, quel qu’en soit le support, et en prendre copie.
• Les agents de la CNIL peuvent s’entretenir avec tout personnel susceptible de détenir des informations utiles pour apprécier la conformité des traitements de données à caractère personnel (par exemple, échanger avec un chef de service, un opérationnel, un informaticien).
• Les contrôleurs peuvent accéder aux programmes informatiques et aux données, et en demander la transcription pour les besoins du contrôle.
• La délégation peut demander copie de contrats (ex.: contrats de location de fichiers, contrats de sous-traitance informatique), de formulaires, de dossiers papiers, de bases de données, etc.
• Un procès-verbal est établi à l’issue du contrôle et fait état de toutes les informations recueillies par la délégation et des constations qu’elle a réalisées. Il répertorie en annexe tous les documents qui ont été copiés dans le cadre du contrôle.

Lorsque la CNIL est empêchée de contrôler …

Dans le cadre d’un contrôle sur place, lorsqu’un responsable des locaux contrôlés s’oppose à la visite de la délégation, le Président de la Commission peut demander l’autorisation de poursuivre le contrôle au juge des libertés et de la détention (JLD) du Tribunal de Grande Instance (TGI), territorialement compétent.

Par ailleurs, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, le Président de la CNIL peut demander au JLD du TGI territorialement compétent une autorisation préventive pour effectuer le contrôle, sans que le responsable des locaux en ait été informé et ait eu la possibilité de s’y opposer.

L’article 51 de la loi du 6 janvier 1978 modifiée punit d’un an d’emprisonnement et de 15 000 € d’amende, l’entrave à l’action de la CNIL.

L’entrave à l’action de la CNIL est réalisée en cas :

• d’opposition à l’exercice des missions confiées aux membres ou agents habilités lorsque la visite a été autorisée par le juge des libertés et de la détention ;
• de refus de communiquer, de dissimulation ou de destruction des renseignements et documents utiles à la mission de contrôle ;
• de communication d’informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de la CNIL a été formulée ou présentation d’un contenu sous une forme qui n’est pas directement accessible.

Les secrets opposables aux agents de la CNIL

Dans le cadre des investigations menées, l’organisme ne peut pas opposer aux contrôleurs de la CNIL le secret professionnel pour justifier notamment un refus de leur laisser accéder à des programmes informatiques ou leur communiquer des documents, sauf si les données relèvent de correspondances entre un avocat et son client, ou sont couvertes par le secret des traitements journalistiques. Les contrôleurs de la CNIL ne peuvent par ailleurs accéder aux données médicales individuelles couvertes par le secret médical qu’en présence et sous l’autorité d’un médecin.

Le secret professionnel des agents de la CNIL

Les agents de la Commission sont astreints au secret professionnel pour les faits, les actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, sous peine de poursuites pénales (article 20 de la loi du 6 janvier 1978 modifiée).

Seuls les agents de la CNIL ayant besoin d’en connaître dans l’exercice de leur mission sont habilités à accéder aux documents recueillis au cours de la procédure de contrôle.

Que se passe-t-il après un contrôle de la CNIL ?

A la suite du contrôle, la CNIL reprend le procès-verbal de contrôle et examine les documents dont une copie aura été effectuée pour apprécier les conditions de mise en œuvre des traitements de données à caractère personnel au regard des dispositions de la loi « Informatique et Libertés », du RGPD, du CSI et du CPCE. Au regard de l’analyse effectuée par la Commission, différentes suites peuvent être apportées au contrôle :

• Lorsque les constatations effectuées n’appellent pas d’observations particulières, la procédure de contrôle est clôturée par un courrier du Président de la CNIL.
• Lorsque les investigations menées conduisent à établir que les pratiques de l’organisme contrôlé sont constitutives de manquements peu significatifs, la procédure de contrôle est clôturée par un courrier du Président de la CNIL accompagné d’observations (ex. : modification des durées de conservation, des mesures de sécurité, procéder à l’information des personnes, etc.).
• Lorsque les vérifications opérées conduisent à caractériser des manquements plus significatifs, le Président de la CNIL peut décider de mettre en demeure l’organisme d’adopter des mesures, dans un délai imparti, pour se mettre en conformité et/ou transmettre le dossier à la formation restreinte de la CNIL qui peut prononcer les sanctions prévues aux articles 45 et 46 de la loi « Informatique et Libertés » et 83 du RGPD.
• La mise en demeure peut, selon les circonstances (ex : nombre important de personnes concernées, impact sur la vie privée des personne élevé, etc.), être rendue publique.
• En cas d’absence de réponse à la mise en demeure ou de non-respect de ses injonctions, le dossier peut également être transmis à la formation restreinte de la CNIL, qui peut prononcer des sanctions. Cette transmission à la formation restreinte n’est pas exclusive d’une dénonciation au Parquet (article 40 du code de procédure pénale).