Registre de traitement

A quoi sert le registre d’activité de traitement ?

C’est un outil de démonstration de votre conformité au RGPD, il vous permet de documenter tous vos traitements de données personnelles.
L’élaboration du registre implique pour la collectivité d’effectuer, au préalable, un état des lieux des traitements mis en œuvre sous sa responsabilité (par exemple : gestion administrative du personnel, gestion de l’état civil, bulletin municipal, gestion de la facturation...)
Le RGPD impose à la collectivité d’enrichir le registre avec des informations liées au responsable de traitement, au DPO, à la finalité du traitement, aux destinataires, aux catégories des données et des personnes concernées.

Quels sont les documents constituant le dossier de conformité ?

Être en conformité avec le RGPD ne suffit pas, encore faut-il pouvoir démontrer cette conformité. C’est l’élaboration et la mise à jour du registre de traitements qui peut constituer la preuve de cette conformité.
La collectivité doit donc, en premier lieu, disposer d’un registre qui liste les traitements qui ont eu lieu sous sa responsabilité. Y sera joint la description des procédures internes en cas de violation de données, les informations sur le DPO, les modèles de recueil du consentement et les procédures mises en place pour l’exercice des droits. L’analyse d’impact pourra compléter, le cas échéant, cette documentation. Le sous-traitant de la collectivité devra également tenir son propre registre d’activités.
Pour plus de précision consultez la page https://www.cnil.fr/fr/documenter-la-conformite

Les traitements réalisés par une école doivent-ils être intégrés au registre de la collectivité ou peut-on estimer que c’est à l’Éducation Nationale de prendre en charge ce sujet ?

Rappelons 2 concepts :
Le responsable du traitement est celui qui définit les finalités et les moyens à mettre en œuvre pour réaliser un traitement.
De notre point de vue, la principale finalité des traitements qui sont effectués par les écoles, est d’éduquer les enfants. Cela est une mission de service publique qui fait partie des compétences de l’Éducation Nationale. La mairie peut fournir du matériel, mais c’est bien l’Éducation Nationale qui détermine tous les traitements qui sont faits à l’école se situant dans le rôle de responsable des traitements.
Un cas de figure différent serait si, dans le cadre de l’école, la mairie est à l’initiative d’un traitement indépendant. Par exemple, la mairie organise un concours avec les élèves et leur demande de s’inscrire pour y participer. Étant donné que ce traitement n’aurait pas été défini par l’Éducation Nationale, ce serait à la mairie de l’inscrire dans son registre et de veiller à que le RGPD soit respecté.

Les traitements réalisés par l’agence postale communale doivent-ils être intégrés au registre de traitements de la collectivité ?

Ce qui va déterminer qui est responsable des traitements est la réponse à la question suivante : qui est à l’initiative ?
Si La Poste ne fait que mettre à disposition le matériel et que la mairie décide librement des traitements réalisés par l’agence postale communale, la mairie se place en tant que responsable des traitements.

Comment utiliser les modèles de traitement de Super Chef ?

Pour vous accompagner et accélérer la saisie de traitements, Super Chef vous propose des fiches de traitement préremplies.
Les informations qu’elles contiennent sont génériques et vous devez vous assurer qu’elles correspondent à votre réalité et les adapter si besoin.

Le registre doit-il être envoyé à la CNIL ?

Non, le registre des activités de traitements de la collectivité ne doit pas être envoyé à la CNIL, il doit seulement être tenu à sa disposition en cas de contrôle.

Si quelqu’un me demande le registre de traitements, suis-je obligé de lui fournir ?

Il n’y a pas d’obligation à communiquer votre registre dans le RGPD autre qu'à l'organisme de contrôle (l CNIL). Mais il est communicable au titre de la loi CADA aux personnes qu'en fassent la demande, dépourvu de données à caractère personnel.