Dans un précédent bulletin d'information, nous vous avons présenté les principes généraux du Règlement Général sur la Protection des Données, ou RGPD. Dans le présent article, nous traitons plus en détail l'une des nouvelles obligations du RGPD, à savoir le registre des activités de traitement.
Suppression de l'obligation de déclaration
Commençons par la bonne nouvelle. A partir de l'entrée en vigueur du RGPD (le 25 mai 2018), il ne sera plus nécessaire d'introduire une déclaration préalable de traitements automatisés des données personnelles auprès de la Commission vie privée. L'obligation de déclaration disparaît et la législation belge devra donc encore être modifiée en ce sens.
Par cette modernisation, le RGPD veut tenir compte des développements technologiques rapides relatifs au traitement des données personnelles. Cette modernisation représente également une simplification administrative. En ce moment, il existe un registre public concernant le traitement des données, consultable sur le site web de la Commission vie privée, mais il n'est utilisé que très rarement.
Introduction du registre de traitement
La suppression de l'obligation de déclaration est une bonne chose, mais, naturellement, dans le cadre du RGPD, une nouvelle obligation viendra la remplacer. Tout responsable et, le cas échéant, sous-traitant, devra tenir un « registre des activités de traitement » à partir du 25 mai 2018 (art. 30 du RGPD). Concernant ce registre de traitement, la Commission vie privée a publié une recommandation détaillée au mois de juin de cette année. Cette recommandation précise en plusieurs points l'obligation de documentation (voir ci-dessous).
Les entreprises ou organisations occupant moins de 250 travailleurs sont exemptées de la nouvelle obligation, sauf si elles effectuent une des catégories de traitement de données personnelles suivantes :
- traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées (par ex. quand le traitement peut aboutir à la discrimination ou à une atteinte à la réputation);
- traitements concernant les données personnelles d'une catégorie particulière (par ex. informations de santé ou informations concernant une opinion politique);
- traitements de données relatives aux infractions pénales;
- traitements de données de « nature non-occasionnelle ».
Le RGPD ne définit pas ce qui s'entend par traitements de « nature non-occasionnelle ». Dans sa recommandation, la Commission vie privée explique qu'un traitement occasionnel se fait « par occasion ou par hasard ». Le traitement relatif à la gestion des clients, des fournisseurs et du personnel n’est pas occasionnel. Un champ d’interprétation si large fait que quasiment toutes les entreprises seront obligées de tenir un tel registre. La Commission vie privée ne considère pas cela comme problématique : moins de traitements sont opérés par l'entreprise, plus le registre sera simple.
Le registre est un document écrit (y compris électroniquement) devant être rédigé par le responsable du traitement et le sous-traitant. Ce registre, qui est mis à jour constamment, doit contenir certaines informations relatives au traitement opéré. Entre autres, les noms et coordonnées des responsables du traitement et des représentants du responsable du traitement doivent être mentionnés, ainsi que les finalités du traitement et les catégories des données à caractère personnel.
La Commission vie privée met à disposition un modèle
Dans sa recommandation, la Commission vie privée présente longuement quelle forme ce registre devra prendre. Entre-temps, vous pouvez télécharger un modèle sur le site web de la Commission vie privée.
Sanctions sévères
Sur demande de la Commission vie privée, le responsable du traitement ou le sous-traitant met à disposition son registre. Si la Commission vie privée constate que le registre est absent ou ne remplit pas les conditions, cette situation peut donner lieu à l’imposition d’une amende administrative pouvant s'élever jusqu'à 10 millions d'euros, ou, dans le cas d'une entreprise, jusqu'à 2% du chiffre d'affaires annuel total de l'exercice précédent, le montant le plus élevé étant retenu. La commission n’aura probablement pas directement recours à cette sanction et elle agira en premier lieu de manière informative. Néanmoins, il serait bon que vous respectiez strictement les obligations du RGPD et les recommandations de la Commission vie privée.
Auteurs :
Dave Mertens, Sara Cockx et Sébastien van Damme.