Le registre RGPD n’est pas une fin en soi

Par Bruno RASLE • Expert RGPD - Formateur de DPO • 26 mars 2024 • LinkedIn

«La tenue du registre est un art», «Pour tenir son registre, il faut des sponsors et des alliés», «Commencer par donner du sens au registre et le valoriser», «Plus le registre sera enrichi, plus il sera confidentiel, et donc plus son accès devra être maîtrisé», «Un registre négligé peut être symptomatique d’un manque de moyens mis à la disposition du DPO».

Il y a quelques jours, j’ai eu le plaisir de présider les jurys devant lesquels les futurs DPO qui suivent le Mastère Spécialisé de l’ISEP ont soutenu leurs travaux dans le cadre de l’un des projets qui leur est imposé : l’établissement et la tenue d’un registre des traitements au sens de l’article 30 du RGPD. À mes côtés, j’avais la chance d’avoir Damien Legoff (DPO du groupe La Poste), Thierry Peliks (DPO France et Europe du sud d’Eviden - Groupe Atos) et Jérémie Dron (DPO de Médecins du Monde), lui-même diplômé de ce cursus.

Les quelques citations qui figurent en ouverture de ce papier sont extraites des mémoires rédigés par les étudiants.

Le Mastère Spécialisé «Management et Protection des Données Personnelles» est la formation du niveau le plus élevé au niveau européen. C’est également la plus ancienne. Les premiers participants – à l’époque des Correspondants Informatique et Libertés - ont reçu leur diplôme en janvier 2009 des mains du secrétaire général de la CNIL, tandis que ceux de la promotion 2010-2011 ont eu pour parrain Philippe Boucher, le journaliste qui avait dévoilé à l’occasion de son discours la source qui lui avait permis d’écrire son article «Safari, la chasse aux français» en 1974 dans le journal Le Monde.

Les objectifs pédagogiques visés par ce projet sont de permettre aux participants de développer leur propre philosophie relative au registre, puis, sur la base de cette doctrine, de définir les critères de constitution et de tenue du registre des activités de traitement et, au-delà de l’obligation légale, de faire de leur registre un véritable outil de conduite de changement et un facteur d’efficience. Il est attendu à la fois une réflexion théorique (sur la genèse du registre, sur ses évolutions, sur sa portée, sur son utilité, sur ce que font – ou ne font pas à ce sujet – d’autres pays, sur ses éventuels défauts, etc.) et une réflexion opérationnelle allant jusqu’à la production d’un modèle de registre et d’une procédure de tenue de celui-ci.

Ces soutenances sont l’occasion de revenir sur quelques points remarquables (ou qui font débat) mis en lumière par la promotion. Je vous propose d’en évoquer quelques-uns.

Le registre est un moyen, pas une fin en soi

Si l’on met de côté l’utilité du registre des traitements pour la CNIL (ce document est l’un des premiers que ses agents demandent à consulter lors d’une mission de contrôle sur place), il faut le considérer comme l’un des moyens qui doit permettre au responsable de traitement d’atteindre la conformité au RGPD. Ainsi, l’une des idées fausses observées fréquemment au niveau des responsables de traitement est celle selon laquelle la conformité serait atteinte dès le registre constitué, alors que cela ne saurait suffire à démontrer la conformité. La formalisation du registre marque le début de l’histoire et non pas la fin. Il est intéressant de noter que certains pays n’ont pas jugé utile d’imposer aux organismes la tenue de cette cartographie – comme le Canada, l’Australie et le Japon, pays qui a été jugé adéquat. Et pourtant les entreprises de ces pays commencent souvent par établir un recensement qui ressemble fort au registre. De même, malgré le fait que le projet de loi DPDI du Royaume-Uni prévoit un allègement à ce sujet, il est à parier que le reflexe imposé par le RGPD perdurera, en tant que bonne pratique. N’est-ce pas la preuve de l’utilité de cet outil ? De façon naturelle, sans qu’aucune loi n’y oblige, n’est-il pas naturel de commencer par chercher à établir une carte du territoire ?

Le registre est encore trop souvent perçu comme une contrainte

Même cinq ans après l’entrée en application du RGPD, seule une minorité de DPO a atteint un stade où leur registre est véritablement utilisé comme un outil de conduite du changement. Pour eux, l’établissement du registre n’était que la première étape d’une démarche plus ambitieuse : ils s’appuient désormais sur cet outil central dans le cadre de la gestion des demandes d’exercice de droit (la personne en charge de la réponse à ce type de demande peut s’y référer afin de repérer plus aisément les traitements concernés et identifier les informations dont elle a besoin), lors d’une violation de données, ou en relation avec leur plan d’audit. Le registre peut également être source d’indicateurs et alimenter le bilan du DPO (qui reste une bonne pratique^[1])

Pour les autres, soit l’exercice est toujours en cours (nous verrons infra quelles peuvent en être les raisons) soit il est uniquement considéré comme une contrainte administrative qui s’inscrit dans la logique du principe d’Accountability. Dans le cadre de mon étude intitulée «Il faut sauver le soldat DPO !», j’avais recueilli le témoignage d’une personne qui n’a fait qu’une brève incursion dans le métier de délégué à la protection des données. Ce témoin indiquait « ne plus croire au métier de DPO », qu’il trouvait « extrêmement ennuyeux et trop gratte-papier », notamment par l’obligation de tenir un registre des traitements.

S’en tenir à l’article 30 ou enrichir son registre ?

Tel que défini par le RGPD, le registre des traitements ne permet pas à un DPO d’être efficient. Il appartient donc au délégué d’enrichir ce document des informations qui lui paraissent indispensables à sa pratique professionnelle, en veillant à trouver un équilibre pour éviter que la mise à jour du registre ne représente une charge trop forte.

Cet enrichissement se fait généralement de façon incrémentale, en fonction du contexte et des besoins, ce qui fait qu’aucun registre n’est identique (quelques autorités de contrôle ont jugé bon de mettre à disposition des modèles pour aider les DPO débutants et les organismes qui sont dépourvus de délégué).

Le premier enrichissement vise à corriger un oubli du RGPD concernant la base de licéité. Cette information qui doit obligatoirement apparaitre dans les mentions prévues par l’article 13 du règlement ne figure pas dans la liste des indications que doit comprendre un registre au titre de l’article 30 du même texte. On peut aller plus loin en indiquant la référence du texte (en cas d’obligation légale) ou en annexant la balance des intérêts (en cas d’intérêt légitime^[2]). Si les modèles simplifiés de registre mis à disposition par la CNIL^[3] ne comprennent aucun enrichissement, on notera que la Commission (ou son délégué à la protection des données) a décidé d’ajouter de nombreuses rubriquesà son propre registrequ’elle a publié en novembre 2019 : la ou les base(s) légale(s) du traitement ; la source des données ; le caractère obligatoire ou facultatif du recueil des données et les conséquences en cas de non-fourniture des données ; l’existence d’une prise de décision automatisée ; les droits RGPD des personnes sur le traitement concerné et les moyens de les exercer auprès du délégué à la protection des données ; le droit à un recours auprès de la CNIL.

Au-delà, longue est la liste des champs qui peuvent venir enrichir un registre : « périmètre » ou thématique générale du traitement (Ressources humaines, Relations clients, Sûreté/Sécurité, etc.), nombre de personnes concernées, présence de zone de libre commentaire, présence de cookie ou autre traceur, durée de conservation en archives intermédiaires, indicateur de sensibilité du traitement, date de la dernière revue du traitement ou du dernier audit, existence d’une analyse d’impact, date et nature de la dernière violation de données ayant affecté ce traitement, nombre de saisines de la CNIL concernant le traitement, etc.

Ainsi un DPO disposant d’un tel registre optimisé peut rapidement extraire (par exemple) les traitements de sensibilité élevée pour lesquels la dernière revue de conformité est la plus ancienne. De même, informé par le RSSI d’un incident de sécurité qui impacte une ressource informatique en particulier, le DPO peut extraire très facilement tous les traitements qui s’appuient sur celle-ci… s’il a suivi le conseil dispensé par la CNIL à l’occasion de la mise à jour de son Guide de la sécurité des données personnelles : «Recenser (à travers le registre) les traitements de données personnelles, les supports sur lesquels les traitements reposent : les matériels (ex. : serveurs, ordinateurs portables, disques durs) ; les logiciels (ex. : systèmes d’exploitation, logiciels métier) ; les ressources d’informatique en nuage (cloud) utilisés (ex. : SaaS, PaaS, IaaS) ; les canaux de communication logiques ou physiques (ex. : connexions filaires, Wi-Fi, Internet, échanges verbaux, coursiers) ; les supports papier (ex. : documents imprimés, photocopies) ; les locaux et installations physiques où se situent les éléments précédemment cités (ex. : locaux informatiques, bureaux).».

Il faut également veiller à adopter un nommage permettant de retrouver rapidement un traitement, notamment en évitant de commencer à toutes les intituler «Gestion de …». On peut, par exemple, prendre l’habitude de placer en premier l’expression ou le mot le plus important («Vidéosurveillance», «Scrutin électronique», «Fraude (lutte contre la)», etc.). Lors de la sélection d’un outil de gestion de registre, il faut penser à prendre connaissance du nombre maximal de caractères que peut accepter le champ destiné à accueillir l’intitulé des fiches de traitements (vous pourriez avoir quelques surprises désagréables) et à vérifier qu’il vous est facile de modifier l’intitulé, même une fois la fiche validée (Là aussi vous pourriez être désappointés, certains outils ne permettant pas la moindre erreur).

Par souci de disposer d’un référentiel autonome, une base documentaire est généralement associée à chaque traitement décrit dans le registre. On peut y placer une description détaillée du traitement, un contrat de sous-traitance, un accord de responsabilité conjointe, une convention établie avec un destinataire, une analyse d’impact, un rapport d’audit, la description d’une violation de données ayant affecté le traitement ou une balance des intérêts. En cas d’utilisation d’un outil de tenue de registre, il est utile de pouvoir gérer de façon distincte les possibilités d’accès à la fiche registre et à cette zone qui comprend des informations d’une sensibilité plus élevée.

Certaines questions reviennent régulièrement

Les DPO débutants (mais pas que…) font souvent face à quelques questionnements, tels que :

• Comment interpréter la mention «dans la mesure du possible» ?

• Peut-on tenir le registre uniquement en langue anglaise ?

• Quelle est la durée de conservation qui doit être portée au registre ?

• En cas de responsabilité conjointe, le contenu des fiches de traitement est-il identique dans le registre tenu par chaque acteur ?

• Comment structurer le champ «Destinataire» ?

• Quels sont les traitements à y faire figurer quand mon entreprise a moins de 250 salariés et que l’un au moins des traitements mis en œuvre ne permet pas de bénéficier de l’exemption décrite à l’article 30.5 du RGPD ?

La mention «dans la mesure du possible» concerne la durée de conservation et les mesures de sécurité. Au fil des décisions prises par les différentes autorités de contrôle, on comprend qu’il n’est pas accepté d’omettre la durée de conservation dans son registre. En revanche, concernant les mesures de sécurité, il est accepté le fait de ne pas trop entrer dans le détail, de crainte de faciliter la tâche des cyberattaquants. Ainsi la CNIL, dans son propre registre, s’en tient à une information générique concernant la sécurisation des données traitées : «Les mesures de sécurité sont mises en œuvre conformément à la politique de sécurité des systèmes d’information (PSSI) de la CNIL, issue de la PSSI de l’Etat.».

Concernant la langue dans laquelle le registre est tenu, on aurait pu s’attendre à ce que le français soit une obligation (libre aux DPO œuvrant au sein d’un groupe international d’en tenir une seconde version en anglais, malgré la charge induite). Si cela est le cas pour les organismes soumis au CRPA^[4] (Code des Relations entre le Public et l’Administration), il semble que la CNIL ait accepté, pour certains DPO désignés pour des entités appartenant à des groupes internationaux que leur registre ne soit tenu qu’en anglais – mais sans que cela soit publié officiellement^[5]. Dans l’attente d’une confirmation publique de la Commission et pour éviter de faire courir le moindre risque à son responsable de traitement (au titre du RGPD, c’est ce dernier qui porte la responsabilité du registre), on prendra soin de recueillir son accord pour s’en tenir à une version uniquement en anglais.

La durée de conservation devant être portée au registre est celle qui correspond à la finalité poursuivie (c’est-à-dire aux archives courantes). De plus en plus de praticiens documentent en sus la durée de conservation en archives intermédiaires, quand les données sont gardées pour traiter un éventuel litige (rappelons que ces données doivent également être produites en réponse à une demande de droit d’accès).

En cas de responsabilité conjointe, le contenu des fiches des deux registres devrait être similaire (hormis l’identité de l’autre partie prenante et les enrichissements décidés par chaque DPO), car elles décrivent un seul et même traitement. Il appartient donc aux DPO des parties concernées de s’entendre pour s’en assurer. C’est l’accord prévu à l’article 26 du RGPD, placé dans la base documentaire associée à la fiche, qui décrit le périmètre et le rôle de chaque acteur.

Concernant le champ «destinataire», la CNIL suggère dans son modèle de distinguer les «Destinataires internes», les «Organismes externes» et les «Sous-traitants». On se souviendra que la définition d’un destinataire a changé avec le RGPD : dans l’ancienne loi Informatique et Libertés, le destinataire était forcément externe au responsable de traitement. En cas d’intégration dans un registre d’un traitement déclaré à la CNIL avant mai 2018, il faut prendre soin de bien documenter les fonctions ou internes habilités à accéder et/ou à traiter les données. On notera que, dans son registre rendu publique, la CNIL n’a pas été jusqu’à indiquer la raison sociale du prestataire qui a été sélectionné dans le cadre d’un appel d’offre pour traiter une partie des plaintes et réclamations adressées à la Commission (ni d’ailleurs dans l’information qu’elle met à disposition des personnes souhaitant la saisir^[6]).

Enfin, quand l’organisme a moins de 250 salariés et que l’un au moins des traitements mis en œuvre ne permet pas de bénéficier de l’exemption décrite à l’article 30.5 du RGPD^[7], la CNIL indique qu’il suffit d’y inscrire les seuls traitements de données incriminé^[8]. L’approche suisse n’est-elle pas plus pragmatique, elle qui n’a prévu qu’une exception à la tenue du registre pour les PME, celle de la présence d’un traitement présentant des risques élevés pour les personnes concernées^[9] ?

Le registre du sous-traitant n’a attiré que peu l’attention jusqu’à maintenant

Considéré comme plus « simple » que le registre tenu en tant que responsable de traitement, le registre sous-traitant (article 30.2 du RGPD) a fait l’objet de peu de publications. Et l’on observe que plusieurs outils de tenue de registre n’ont pas été pensés pour les maximiser : trop souvent, c’est le même formulaire qui est utilisé pour une fiche de traitement en tant que responsable de traitement et en tant que sous-traitant, ce qui n’est pas pertinent. Un sous-traitant étant forcément également responsable de traitement (ne serait-ce que pour ses propres traitements Ressources humaines) et un responsable de traitement pouvant lui-aussi se retrouver sous-traitant (par exemple au sein d’un groupe), il convient de bien vérifier que l’outil de gestion des registres laisse le soin de définir le « rôle » endossé par l’organisme pour chaque fiche (et qu’il soit capable de « produire » l’un ou l’autre des registres, notamment en cas de contrôle de la CNIL).

Sans surprise, les DPO désignés pour ce type d’acteurs ont également rapidement enrichi leur registre de quelques informations en lien direct avec le RGPD, comme le temps maximal laissé par le client en cas de violation de données pour lui notifier cette dernière, les exigences spécifiques du responsable de traitement concernant la possibilité (ou pas) de faire appel à de la sous-traitance de niveau inférieur et l’identité des éventuels sous-traitants de niveau inférieur (information qu’il faut communiquer au responsable de traitement en respect de l’article 28.2 du RGPD).

Contrairement à la CNIL qui indique que «En pratique, une fiche de registre doit donc être établie pour chacune de ces catégories d’activités (hébergement de données, maintenance informatique, service d’envoi de messages de prospection commerciale, etc.).», nombreux sont les DPO qui tiennent à jour un registre sous-traitant en le structurant en partant de leurs clients (du moment que toutes les informations requises y figurent). On notera d’ailleurs la divergence avec un passage de la F.A.Q. sur le registre duGarante per la protezione dei dati personaliitalien : «Dans le cas où un acteur agit en tant que sous-traitant pour le compte de plusieurs clients, les informations visées à l'article 30.2. RGPD doivent être portées au registre en référence à chacun des clients susmentionnés. Dans ces cas, la personne responsable doit diviser le registre en autant de sections que de titulaires pour le compte desquels il agit.».

Comment établir le registre et quels sont les acteurs impliqués ?

Avant l’entrée en application du RGPD, le CIL (Correspondant Informatique et Libertés) était explicitement chargé de la tenue du registre^[10]. Il devait «Dans les trois mois de sa prise de fonctions …/…dresser la liste des traitements». Le règlement européen a préféré faire porter cela juridiquement sur les épaules du responsable de traitement, même si on imagine mal qu’un dirigeant de grande entreprise s’en charge d’un point de vue opérationnel.

Le CEPD dans ses lignes directrices sur le délégué (WP243)recommande que le DPO soit le pilote de la tenue du registre : «Ce registre doit être considéré comme l’un des outils permettant au DPD d’exercer ses missions de contrôle du respect des règles ainsi que d’information et de conseil du responsable du traitement ou du sous-traitant.». De fait, le DPO reste en pratique la fonction clé à même d’assurer la gestion d’un tel outil. La CNIL suggère que dans ce cas, le DPO devrait prévoir dans sa lettre de mission que la tenue du registre constitue l'une de ses missions, en sus des missions décrites à l'article 39 du RGPD. On retrouve également cette précaution dansle modèle de lettre de mission mise à disposition par l’AFCDP^[11].

Dans ce cadre, il revient au DPO de déterminer la structure du registre, de sélectionner un éventuel outil de gestion^[12], de décider des modalités d’utilisation du registre ainsi que des modalités d’accès. S’il peut créer des projets de fiches, aidé de ses éventuels relais et des MOA, il lui revient de les valider (y compris les nouvelles versions) et de les archiver une fois le traitement correspondant décommissionné.

La création du registre est une phase cruciale (elle permet notamment de se poser quelques bonnes questions : avons-nous vraiment besoin de cette donnée dans le cadre de notre traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? etc.). Cette étape est réputée complexe et exigeante : il est donc sage de procéder par étapes plutôt que d’essayer de tout faire en une seule fois (c’est-à-dire de recenser les traitements, d’obtenir tous les détails y afférents, d’en profiter pour corriger ce qui doit l’être et pour sensibiliser/former les opérationnels par la même occasion…). Un DPO interne travaillera en « zoom avant » selon une approche progressive en privilégiant le relationnel avec les Métiers et en cherchant à peser le moins sur eux.

L’idéal est de commencer par avoir un colloque singulier avec chaque directeur de service. Après s’être présenté et avoir bénéficié d’une présentation similaire du service visité, il convient de « vendre » le recensement des traitements opérés dans ce périmètre et d’obtenir le nom de quelques membres du service qui seront vos interlocuteurs principaux. Il est crucial également d’obtenir de chaque responsable Métier qu’il soutienne explicitement l’effort auprès de ses équipes. Parallèlement à la cartographie des traitements, le délégué peut également positionner des sessions de sensibilisation destinées à chaque service opérationnel.

Vient ensuite le temps des interviews des points de contact. Même si le délégué s’est préparé à ce type d’entretien (en lisant le règlement d’organisation, l’organigramme ou les procédures), il ne faut pas « sauter » à pieds joints dans le recensement et prendre le temps de laisser l’interlocuteur Métier décrire les missions principales de son service. Missions que le délégué saura transcrire en finalités (puisque c’est la logique sur laquelle un registre doit être établi). Pour relancer la discussion, le DPO aura pris soin de se munir d’une liste de référence comprenant les traitements qu’on peut raisonnablement s’attendre à trouver (par exemple en utilisantle référentiel de la CNIL sur les traitements Ressources humaines). On en reste là pour un premier échange. On reprendra la liste établie lors d’une rencontre suivante afin d’entrer plus avant dans les détails (Quelles sont les données traitées ? Combien de temps en avons-nous besoin ? Nous appuyons-nous sur un sous-traitant ? etc.) mais en veillant à ne pas faire apparaitre une éventuelle réaction (un bon DPO sait êtrepoker facequand il le faut). Ce n’est qu’une fois le registre établi qu’on peut revenir auprès des services pour mettre en conformité ce qui doit l’être, après avoir déterminé des priorités (à tout vouloir faire en même temps, on obtient généralement une fermeture du type « huitre » de la part des interlocuteurs Métiers). C’est donc une approche « par le haut » qui s’avère la meilleure (par les métiers, par les missions, par les procédures) et non par le bas (en partant des données ou des ressources informatiques).

Certes, cette approche prend du temps, mais elle permet au DPO de se faire connaitre auprès des services. C’est la raison pour laquelle il convient de considérer avec circonspection les annonces formulées par certains éditeurs d’outils qui promettent d’automatiser cette étape : «Pour vous donner un ordre d'idée, avant, lorsque je faisais la conception d'un registre, la prestation était facturée dans les 20.000 €, et elle prenait plusieurs semaines de travail à temps plein ... Aujourd'hui, ce travail est quasiment entièrement automatisé et vous pouvez créer votre registre en quelques clics seulement !» ou «Créez votre registre des traitements en quelques minutes».

Une autre approche s’appuie sur un questionnaire destiné à être renseigné par les directions métiers. Comme cela suppose que les concepts de base du RGPD soient maîtrisés par les personnes sollicitées, elle donne souvent des résultats décevants^[13].  Cette pratique - avec des formulations en langage courant - peut quand même être utile pour préparer l’entretien, en amenant les interlocuteurs à réfléchir à certains points en amont.

Naturellement, le délégué peut prendre le soin de recueillir ce qui a déjà été fait par ailleurs (Il n’est pas inutile de prendre connaissancedes formalités préalables accomplies auprès de la CNIL par l’organisme avant le 25 mai 2018) et d’en profiter pour créer des synergies qui lui seront très utiles :  la cartographie du système d’information établie par l’architecte SI (l’Urbaniste), le référentiel de l’archiviste, le PCA, le dictionnaire des données, la cartographie des processus auprès du responsable Qualité, le plan de contrôle interne, le périmètre NIS2 auprès du RSSI, etc. Comme toute bonne synergie ne perdure que si les deux parties y gagnent, le registre établi par le DPO peut permettre en retour d’enrichir les autres cartographies (à titre d’exemple, il peut exister au sein des entreprises des solutions SaaS, sélectionnées et mises en œuvre à l’initiative de directions métiers et dont la DSI n’a pas connaissance).

L’établissement de la cartographie des traitements données personnelles est laborieux et nécessite la collaboration de tous les métiers au sein d’un organisme. Cela suppose de prendre la précaution, avant de se lancer, de « vendre » le registre comme l’a justement formulé l’un des groupes d’étudiants qui a soutenu : «Afin d’élaborer le Registre, le DPO devra s’attacher tout d'abord à trouver comment motiver ces personnes afin que ces dernières soient pleinement impliquées dans cette partie du projet conformité.Il faut avant tout expliquer, donner du sens. Qu’est-ce que le Registre ? Pourquoi c’est important ?». Fournir d’emblée à chaque direction Métier un exemple de fiche registre qui les concerne directement est également très aidant.

On essayera de gommer au maximum l’aspect bureaucratique de l’exercice et de ne pas laisser croire que le sujet « conformité au RGPD » sera épuisé avec la complétude du registre.

Le DPO peut chercher à synchroniser l’effort avec une première campagne de sensibilisation (l’une de ses missionsau titre de l’article 39.1.a du RGPD).

Par politesse (les métiers ont accordé de leur temps précieux), la moindre des choses est de leur remettre une copie des fiches établies pour les traitements qui les concerne. Cela permet aussi de les mettre en responsabilité en les invitant à vous signaler toute erreur, imprécisions ou évolutions substantielles (la question de la mise à jour du registre étant importante).

Qui peut avoir accès au registre ?

On dit souvent que le RGPD a créé de nouveaux droits (dont celui lié à la portabilité), mais il en a au moins supprimé un ! En effet, avant l’entrée en application du règlement, il était possible de demander communication de son registre à un responsable de traitement qui avait désigné un Correspondant Informatique et Libertés (et à la CNIL).

Comme l’indique l’article 30.4, tous les acteurs (responsables de traitement, sous-traitants) et quel que soit leur secteur (privé ou public), sont tenus de mettre leur registre à la disposition de la CNIL, sur la demande de cette dernière (il ne doit pas lui être spontanément envoyé). Lors d’un contrôle sur place, c’est souvent le premier document demandé.

Le RGPD n’oblige pas à publier le registre, même si certains acteurs soumis au CRPA (Code des Relations entre le Public et l’Administration) ont pris cette initiative^[14], la liste des traitements étant considérée comme un document administratif communicable^[15]. Naturellement, cela peut se faire après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information ou à la protection de la vie privée.

Enfin il arrive que des responsables de traitement demandent à leur sous-traitant de leur communiquer la fiche registre relative à la prestation confiée (et non pas le « registre » du sous-traitant, comme on l’entend trop souvent). On peut se demander à quoi sert cette communication, puisque bien plus d’éléments figurent dans le contrat établi au titre de l’article 28 du RGPD et que le pouvoir d’audit prévu à l’article 28.3.h porte sur les exigences de ce même article (et non pas sur le respect de l’article 30 par le sous-traitant).

Si le règlement a prévu une visibilité descendante (normalement, le responsable de traitement doit avoir connaissance de tous les sous-traitants, quel que soit leur niveau^[16]), des membres du Mastère Spécialisé de l’ISEP ont soulevé également une question intéressante : un sous-traitant de premier niveau est-il contraint de révéler le nom du responsable de traitement (le « client ») à ses propres sous-traitants ?

Prendre son temps pour choisir un outil de tenue du registre

Dans le cadre de leurs travaux, les étudiants ont interviewé des praticiens. Un conseil revient régulièrement concernant le choix d’un outil : «Ne pas se précipiter mais prendre le temps de forger sa propre doctrine avant d’en sélectionner un qui vous convient». Et, effectivement, on rencontre souvent des délégués gênés car ils ont hérité d’un outil ne correspondant pas à la façon dont ils envisagent leur métier : ils se sont retrouvés dans la situation d’une personne obligée de marcher dans des chaussures trop petites… En bref, ce n’est jamais à l’ouvrier de se plier à l’outil.  Et ce n’est qu’une fois les idées claires qu’on peut commencer à s’intéresser à ce que le marché propose, en ne se limitant pas à une simple démonstration (toujours très réussie), mais en insistant pour tester l’outil en situation réelle et en pensant aux cas marginaux.

Ainsi, lors d’un appel d’offres visant à sélectionner un outil capable de tenir à jour plus d’une centaine de registres, tous les candidats ont assuré à l’un des DPO interviewés que leur outil était doté d’une puissante fonction de recherche. Ils oubliaient juste de préciser qu’il fallait savoir où chercher ! Alors que l’objectif était de savoir si l’un des registres comprenait un traitement répondant à certains critères, il aurait fallu faire une centaine de recherches successives… Il faut aussi vérifier que l’outil donne la possibilité d’enrichir son modèle de fiche de champs complémentaires, faisant ainsi écho à la doctrine forgée par chaque délégué à la protection des données.

La logique de facturation est importante : si l’établissement et la tenue du registre nécessitent l’apport d’un grand nombre d’acteurs, il faut privilégier une solution facturée au nombre de registres (et non pas d’utilisateurs), pour pouvoir tirer le maximum de profit de la fonction deworkflow.  À l’inverse, si seuls le DPO, son équipe et les quelques référents RGPD interviennent dans l’opération, une facturation au nombre de registres gérés peut être financièrement plus intéressante. Enfin il faut porter une attention particulière à la « fin de l’histoire » : un jour ou l’autre arrive une migration vers un nouvel outil. Même avec les solutions les plus abouties, cela peut prendre plusieurs mois. Il vaut donc mieux y penser dès la sélection initiale.

À quoi ressemble un registre « idéal » ?

Il est intéressant de tenter de décrire à quoi peut ressembler un registre parfait. Il doit être exhaustif (tous les traitements qui doivent y figurer, y sont), sans doublon (un même traitement ne se trouve pas simultanément dans deux registres – à l’exception d’une situation de responsabilité conjointe), complet (c’est-à-dire que chacune de ses fiches respecte l’article 30 du RGPD), enrichi (pour faciliter le maintien en conformité et le travail du DPO) mais pas trop lourd à maintenir à jour, clair et exploitable (on y retrouve facilement un traitement, sa structure est logique, facile à appréhender), juste (il est reflet de la réalité, pas juste une « façade » déconnectée du terrain), « branché » sur d’autres ressources ou outils (indicateurs, bilan, plan d’audit, etc.) et souple (il est à la fois adaptable mais peut également être porté facilement d’un outil à un autre).

Les étudiants se sont naturellement intéressés à la question de la granularité d’un registre^[17] : vaut-il mieux avoir peu de fiches (mais englobant chacune plusieurs finalités) ou un plus grand nombre de fiches (mais ne concernant qu’un nombre réduit de finalités) ? Cette question n’a en fait aucune importance, du moment que le registre répond aux critères listéssupra(notamment concernant les caractéristiques « clair et exploitable »). De plus, le registre étant la « chose » du DPO, il peut varier la granularité au fil du temps (commencer, par exemple, par regrouper dans une seule fiche plusieurs sous-finalités, avant de les « éclater » par la suite – ou l’inverse). Rien n’empêche non plus, au sein d’un même registre, d’avoir des granularités différentes (très fine pour les traitements mis en œuvre par un service en particulier, plus grossière pour une autre direction).

Je me souviens du témoignage de deux Correspondants Informatique et Libertés désignés pour des entités de taille semblable et d’un même secteur d’activité qui ont fusionnées. L’un des registres comptait une centaine de traitements, l’autre presque quatre cents. En aucun cas l’un était « meilleur » que l’autre.

On en profitera pour tordre le coup à une idée fausse selon laquelle il ne faudrait pas avoir plus de cinq ou six sous-finalités par fiche… alors que la CNIL, dans son propre registre, en regroupe dix-sept dans sa fiche «Gestion administrative des personnels et membres de la Commission» : «Gestion administrative des agents, des membres du collège et des stagiaires, ainsi que du dossier professionnel conformément aux dispositions législatives et réglementaires ; Suivi des carrières, de la mobilité des agents et des contrats ; Gestion de la paie des agents, de l’indemnisation des membres du collège et de la gratification des stagiaires ; Gestion de la campagne d’entretiens annuels, du calcul et du versement de la prime de performance ; Constitution et suivi des dossiers de saisine de la Commission de déontologie de la fonction publique ; Mise en œuvre de la formation des agents (demandes, arbitrages, organisation des sessions, convocations, feuilles de présence, mesure de la satisfaction) ; Gestion du temps de travail et des modalités d’organisation de l’activité ; Gestion des demandes relatives au compte épargne temps des agents ; Gestion et diffusion des plannings de présence, organigrammes, trombinoscope, annuaires et listes d’agents experts ou référents sur des sujets particuliers ; Organisation des réunions des instances représentatives du personnel ; Organisation des élections professionnelles ; Réalisation d’études statistiques pour la production des bilans sociaux annuels et la bonne gestion administrative ; Suivi de la masse salariale, de la consommation du plafond d’emploi et de l’allocation des ressources par service et direction, et préparation des documents de dialogue de gestion avec le responsable de programme budgétaire ; Réponse aux demandes émanant de la Cour des comptes, de toute autre instance compétente pour auditer ou examiner la gestion de la CNIL ou d’une juridiction ; Gestion des demandes d’exercice des droits informatique et libertés ou des demandes d’accès aux documents administratifs adressées au service des ressources humaines ; Gestion du contentieux ; Pilotage et suivi statistique de l’activité».

Enfin les soutenances ont été l’occasion de faire un sort à l’idée fausse selon laquelle un nombre réduit de fiches allègerait la charge de mise à jour d’un registre : le contenu qui doit être vérifié étant au final le même, la charge induite devrait logiquement être identique.

Situation spécifique aux DPO externes

Tout est plus compliqué pour les DPO externes, y compris l’établissement et la tenue à jour du registre de leurs clients car on leur laisse généralement peu de temps pour collecter les informations auprès des services opérationnels (ils en sont donc souvent réduits à en passer par un questionnaire). Combien d’entre eux peuvent assurer que le résultat répond à la description évoquéesupra?

Comme leurs homologues internes, les délégués externes sont amenés à enrichir les registres qu’ils administrent… quelque fois avec des informations annexes qui ne sont pas portées à la connaissance de leur client, comme le degré de « confiance » accordé aux caractéristiques qui leur ont été déclarées pour chaque traitement (la note maximale n’étant donnée qu’après vérification par le DPO externe).

Mais c’est principalement au niveau de l’outillage que se situe la difficulté : un DPO externe désigné pour un grand nombre d’acteurs (responsables de traitement et sous-traitants) doit-il leur imposer son propre outil (ou celui qu’il a sélectionné), au risque de perdre des contrats avec des prospects qui ne souhaitent pas abandonner la solution dont ils étaient pourvus, ou bien s’adapter à une variété d’outils et endosser la charge de formation afin de les maîtriser ?

Des décisions des autorités de contrôles… dont certaines perturbantes

Cinq ans après l’entrée en application du RGPD, on commence à disposer de décisions formulées par les autorités de contrôles européennes qui concernent le registre de traitement. Certaines d’entre elles interrogent… et les membres de la promotion du Mastère spécialisé n’ont pas manqué de les évoquer.

Ainsi, en Allemagne, le société Volkswagen s’est vue reprocher en juillet 2022 ne pas avoir fait figurer une description suffisamment précise des mesures de sécurité dans son registre des traitements. Un véhicule d'essai, enrichi de multiples capteurs, a été arrêté par la police lors d'un banal contrôle routier. Les agents avaient été surpris par des ajouts inhabituels au véhicule, qui s'étaient avérés être des caméras. Le véhicule testait un système intelligent d'aide à la conduite et enregistrait la circulation autour de lui. La firme a écopé d’une amende de 1,1 million d’Euros pour avoir enfreint quatre articles du RGPD (défaut d’information des personnes, manque d’encadrement d’un sous-traitant, absence d’analyse d’impact et registre incomplet).

De façon similaire, en Italie, le Garante a également estimé qu’un responsable de traitement n’avait pas assez détaillé ces mêmes mesures de sécurité^[18] : «Le registre des traitements présenté par l'entreprise présente également des lacunes en ce qui concerne la description générale des mesures de sécurité, tant techniques qu'organisationnelles, étant donné que le document se contente d'une référence générique à une « politique de sécurité » non précisée, sans aucune référence à des documents spécifiques et sans décrire, même brièvement, les mesures de sécurité prises par l'entreprise comme l'exige au contraire l'article 30.1.g du règlement.». L’autorité rappelle qu’elle avait abordé ce point dans sa F.A.Q. sur le registre^[19], publié en 2018 : «Les mesures de sécurité peuvent être décrites sous forme résumée et synthétique, mais en tout état de cause appropriée pour donner une vue d'ensemble de ces mesures en adéquation avec les activités de traitement menées, avec la possibilité de faire référence pour une évaluation plus détaillée à des documents externes, comme des procédures organisationnelles internes ou une politique de sécurité.». Comment dès lors apprécier la pratique de la CNIL qui, dans son propre registre, fait simplement référence à la PSSI de l’état ?

Restons en Italie avec l’amende de 2,5 millions d'Euros prononcée par le Garante contre Deliveroo Italy le 22 juillet 2021^[20]. Concernant le registre des activités de traitement, l'autorité avait relevé l’absence de certains types de données personnelles (telles que la position géographique des livreurs, collectée par GPS), des durées de conservation qui ne correspondaient pas à la réalité et des lacunes dans la description des mesures de sécurité.  En sus, il a été reproché au responsable de traitement le fait que son registre ne comportait pas de date de dernière mise à jour ni de signature (du responsable de traitement, pour démontrer que ce document crucial est tenu sous sa responsabilité, comme le précise l’article 30.1 RGPD). Combien de DPO font signer le registre au responsable de traitement ? Et selon quelles modalités ? Faire signer chaque nouvelle fiche ? Chaque modification substantielle ?

En Italie encore, Sportitalia, un club de sport amateur, a été sanctionné pour avoir illégalement utilisé un système d'empreintes digitales pour enregistrer la présence de ses employés, sans consentement valide. De plus, Sportitalia n’avait pas mentionné les données biométriques dans son registre. C’est une décision qu’on peut rapprocher d’une autre, prise en Belgique, qui exigeait de «clairement distinguer les données non-sensibles, les données sensibles et les données à caractère hautement personnel». La délibération indique que seulement 3.700 Euros - sur les 129.500 Euros infligés au total – sont relatifs à cette non-conformité que l’APD qualifie de «mineure». On peut s’interroger sur cet excès d’exigences. Le registre n’étant destiné qu’à l’autorité de contrôle, les exigences d'information des personnes concernées au titre des article 13 et 14 du RGPD ne devraient-elles pas s'imposer (après s'être assuré de leur cohérence avec ce qui est porté au registre) ?

En Norvège, Datatilsynet a trouvé étrange de ne voir figurer qu’une dizaine de traitements dans le registre d’un acteur qu’elle contrôlait, ce qui était surprenant compte-tenu de la nature de l'organisme (la Direction des services correctionnels) et de ses missions. Pour l’autorité de contrôle, un registre incomplet ne permettait pas au responsable de traitement d’avoir une bonne vue d'ensemble et un contrôle adéquat de ses traitements – dont certains sensibles.

L’autorité de contrôle belge (APD) a récemment sanctionné un responsable de traitement (entre autres) pour n’avoir pas suffisamment détaillé dans son registre les catégories de personnes concernées par les traitements qu’il mettait en œuvre^[21]. Il semblerait que, selon l’autorité belge, le fait d’indiquer simplement «Collaborateurs» ou «Clients» ne serait pas suffisant : faudrait-il également apporter des précisions contextualisées, comme indiquer «Salariés dotés des clés des locaux» dans le cadre d’un traitement lié à la gestion de l’attribution/restitution des clés d’accès aux locaux ou encore «Clients utilisant le site web» dans le cadre d’un traitement lié à la gestion des commandes passées en ligne ?

Dans une autre décision belge, l'aéroport de Bruxelles Sud Charleroi a écopé d’une sanction de 100.000 Euros pour avoir effectué des contrôles de température avec des caméras thermiques sur les passagers sans base légale valide, sans fournir d'informations adéquates aux personnes concernées et sans avoir effectué une évaluation d'impact sur la protection des données appropriée. De plus, l’autorité a estimé que le registre des activités de traitement n'était pas suffisamment détaillé, car il ne mentionnait ni le nom et les coordonnées du responsable de traitement, ni le nom et les coordonnées du délégué à la protection des données, ni les catégories de destinataires. Si la partie défenderesse a admis les deux premiers manquements, elle estimait que l’autorité allait au-delà de ce que demande le RGPD pour le troisième (le registre indiquait la présence d’un sous-traitant qui avait accès aux données). Pour l’autorité, au contraire, «Le simple fait d’uniquement indiquer s’il s’agit d’un sous-traitant ou non ne répond pas à l’exigence» et rappelle sa Recommandation relative au Registre des activités de traitements, dans laquelle figure en annexe des exemples de destinataires : «la personne enregistrée elle-même ; Des relations personnelles de la personne enregistrée ; Des conseillers professionnels de la personne enregistrée ; L’employeur ou des relations de travail de la personne enregistrée ; Des individus ou des organisations en relation directe avec le responsable ; Autres services ou entreprises annexes du responsable ; Autres entreprises privées ; Services publics ; Justice et services de police ; Instances de la sécurité sociale ; Banques et compagnies d'assurances ; Courtiers en données à caractère personnel ou marketing direct ; Autres».

Vous souhaitez intégrer la prochaine promotion du Mastère Spécialisé « DPO » de l’ISEP ?
Prenez connaissance de quelques témoignages(de diplômés et d’intervenants).

L’auteur

Bruno Rasle se définit comme un « monomaniaque » de la conformité au RGPD et pratique cet art martial sous trois formes : à titre professionnel, il a été délégué à la protection des données mutualisé pour l’une des branches de la Sécurité sociale ; à titre bénévole, il est l’un des tous premiers membres de l’AFCDP et a été son délégué général pendant une douzaine d’années ; en tant qu’enseignant enfin, en tant que chargé de cours au sein de la formation la plus ancienne et du niveau le plus élevé en Europe (il forme les professionnels de laPrivacydepuis 2007). Il a également pris une part active dans la création du métier de Correspondant Informatique et Libertés (puis de délégué à la protection des données). Il est coauteur des ouvrages suivants :Halte au Spam(Eyrolles, 2003) ;Correspondant Informatique et Libertés : bien plus qu’unmétier (AFCDP, 2015) ;Droit à l’oubli(Larcier, 2015) ;Se préparer au RGPD(Éditions législatives, 2017). Il a créé l’Université AFCDP des DPO (et a été son organisateur jusqu’en 2020), l’Index AFCDP du droit d’accès et leJob boarddes DPO (AFCDP). Bruno Rasle est le co-auteur du code de déontologie du DPO et de la version annotée, commentée et indexée du RGPD mise à disposition par l'association. Il a participé à la création de CEDPO (Confédération européenne des associations de professionnels de la protection de la vie privée) dont il a étéBoard Member.

Ses publications sont nombreuses («Il faut sauver le soldat DPO !», «La purge des données – Un effort qui en vaut la peine», «Pour une désignation idéale du DPO», «Courteline rend le sourire aux DPO», «Collègues DPO : le bilan annuel est un outil précieux ; faisons-en une bonne pratique», «PSSI : contrainte ou opportunité ?»), de même que ses interventions en conférence («Cookie et Widget : peut-on vraiment surfer tranquille ?», Université AFCDP 2011, «Synergie entre RSSI et CIL» , Cesin 2012 ; «Mise en conformité des Zones de Libre Commentaire», Université AFCDP 2013 ; «Privacy by Design : le rôle clé des développeurs», AtoutFox 2013 ; «CPO & CSO : Bridging the gap», IAPP Bruxelles 2013 ; «Les méthodes agiles sont-elles Privacy-compatibles ?», Cloud Week Paris 2015 «La Blockchain est-elle soluble dans le RGPD ?», AG AFCDP 2017 ; «Le RGPD, évolution ou révolution ?», Journées JCAS 2017 ; «Que sommes-nous ? Responsable de traitement ? Responsable conjoint ? Sous-traitant ?», AG AFCDP 2019 ; «Comment auditer sa gestion des droits d’accès ?», Université AFCDP 2021 ; «Créer et animer un réseau de RIL», Université AFCDP 2022).

Outre son enseignement au sein du Mastère Spécialisé «Management et Protection des Données Personnelles» de l’ISEP, il propose des formations courtes pour le compte d’Anaxia Conseil (« L’informatique appliquée au RGPD », « Réaliser une Analyse d’Impact • De la théorie à la pratique », « Violations de données • Pour ne pas subir », « Contrôle de la CNIL • S’y préparer, le gérer, y survivre », «Être un DPO efficace dès les premiers jours»).

[1] Cf. «Collègues DPO : Le bilan annuel est un outil précieux – Faisons-en une bonne pratique», 29 mars 2020

[2] Dans sa F.A.Q. sur le registre, l'autorité italienne le recommande : «Il conviendrait également d'indiquer la base juridique correspondant aux finalités. À cet égard, en particulier en ce qui concerne l'intérêt légitime, il est conseillé d'ajouter la description de l'intérêt légitime poursuivi ainsi que la balance des intérêts formalisée»

[3] Dans sa page «Le registre des activités de traitement», la CNIL met à disposition un modèle de registre simplifié (qui répond strictement à l'article 30. RGPD), aux formats ODS (OpenDocument) et RTF (Rich Text Format)

[4] Il résulte du premier alinéa de l'article 2 de la Constitution du 4 octobre 1958 en vertu duquel «La langue de la République est le français», que l'usage du français s'impose aux personnes morales de droit public et aux personnes de droit privé dans l'exercice d'une mission de service public. Les documents administratifs (dont le registre) doivent, par suite, être rédigés en langue française.

[5] On notera que, par exemple, Datatilsynet (l'autorité norvégienne) accepte de recevoir des notifications de violations de données rédigées en norvégien, danois, suédois ou en anglais.

[6] https://www.cnil.fr/fr/donnees-personnelles/plaintes-en-ligne

[7] Le Garante (Italie) a abordé ce point dans sa F.A.Q. sur le registre, publié en 2018 (F.A.Q. Registro delle attivita di trattamento) : « À titre d’exemple, les acteurs suivants sont tenus d'établir un registre : établissements ayant au moins un employé et/ou qui traitent des données de santé de leurs clients (comme les opticiens, ostéopathes, physiothérapeutes, pharmaciens et médecins) ; les travailleurs indépendants ayant au moins un employé et/ou qui traitent des données de santé et/ou des données relatives à des condamnations ou à des infractions pénales, comme les comptables, notaires ou les avocats ; les associations ou les fondations qui traitent des catégories spéciales de données et / ou des données relatives à des condamnations ou à des infractions pénales, comme les associations qui viennent en aide aux malades, aux personnes handicapées ou aux anciens détenus, ou celles qui luttent contre la discrimination fondée sur la race ou l'orientation sexuelle»

[8] Voir la page «Le registre des activités de traitement» sur le site web de la Commission

[9] Cf.Art.12 de la LPD(Loi fédérale sur la protection des données) : «Le Conseil fédéral prévoit des exceptions pour les entreprises qui emploient moins de 250 collaborateurs et dont le traitement des données présente un risque limité d’atteinte à la personnalité des personnes concernées.»

[10] Cf. le Décret n° 2005-1309 du 20 octobre 2005

[11] «Par la présente, je vous précise quelles sont vos missions en tant que Délégué à la protection des données .../... tenir l’inventaire et documenter nos traitements de données à caractère personnel…»

[12] Au sein de groupes internationaux, on relève cependant des cas de DPO auxquels un outil global a été imposé.

[13] Du fait du peu de temps qui leur est accordé, les DPO externes en sont souvent réduits à recourir à cette méthode.

[14] Voir, par exemple, celui mis à dispositionpar la région Ile-de-France. Cette publication fait probablement suiteau rapport très critiquepublié en juillet 2021 par la chambre régionale de la Cour des Comptes : «Plus de deux ans après la date limite de mise en œuvre du RGPD, la région reste dans l’incapacité de dénombrer ses traitements, d’en apprécier et d’en justifier la conformité.../... Outre que la région ignore toujours le nombre de traitements de données personnelles qu’elle utilise, elle n’est pas en mesure d’en garantir la conformité, y compris pour les données les plus sensibles».

[15] À notre connaissance, l’avis le plus ancien de la Cada à ce sujet est le n°20140108 (Séance du 13/02/2014). Voir aussil'avis CADA n° 20194129 du 12/03/2020.

[16] Il devrait en être de même pour les personnes concernées. Ainsi, la nouvelle version d’Outlook affiche une fenêtre surgissante qui commence par le texte suivant : «We and 772 third parties process data to...»

[17] Selon Datatilsynet, l'autorité danoise, « ...il est possible de regrouper plusieurs activités de traitement en un seul enregistrement lorsqu'elles peuvent être formulées dans le cadre d’une finalité unifiée, logique et cohérente. Cela peut être particulièrement pertinent pour les sous-finalités qui sont liées entre elles, par exemple parce qu’elles impliquent la même tâche».

[18] Garante - Ordonnance d'injonction contre Deliveroo Italy s.r.l. - 22 juillet 2021 [9685994]

[19]F.A.Q. Registro delle attivita di trattamento-https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento

[20]Ordinanza ingiunzione nei confronti di Deliveroo Italy s.r.l. - 22 luglio 2021 [9685994]

[21] Décision quant au fond n° 07/2024 du 16 janvier 2024 -https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-07-2024.pdf