17/12/2015
The GDPR is finally coming: we're happy to offer an improved version of the text! (...détails...)
28/04/2014

La décision Conseil d'Etat "Foncia Groupe" du 12 mars 2014 consacre un important revirement d'analyse des relations "Informatique et Libertés" au sein d'un Groupe: la holding ou le siège, assurant la responsabilité réelle, in concreto, du traitement, n'est plus considéré comme sous-traitant, mais bien comme responsable légal du traitement pour l'ensemble de ses filiales.

(...détails...)
21/03/2014
Vous pouvez désormais louer RETIL, sans acquérir de licence ni l'installer sur vos serveurs.
(...détails...)
27/01/2014
Voici les supports de la présentation de ce 27 janvier 2014 à la toujours intéressante Université de l'AFCDP. Merci de votre attention durant cet atelier !
19/04/2013
La délibération CNIL 2013-075 du 28 mars 2013 labellise notre formation "Correspondant Informatique et Libertés".
(...détails...)

Toutes les news

Registre du CIL

Définition

L'article 22 III de la loi, révisée en 2004, confie au Correspondant la tâche de "tenir une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande".

Cette "liste des traitements" est définie par la directive sous le nom de Registre - cette dénomination s'est rapidement imposée.

L'article 47 du décret du 20 octobre 2005 rappelle cette obligation de tenue d'une liste des traitements, et fournit une indication d'organisation : "Le responsable des traitements fournit au correspondant tous les éléments lui permettant d’établir et d’actualiser régulièrement une liste des traitements automatisés mis en oeuvre au sein de l’établissement, du service ou de l’organisme au sein duquel il a été désigné (...)".

Cet article 47 dispense également les traitements figurant au Registre des déclarations "classiques" auprès de la CNIL: "(traitements) qui, à défaut de désignation d’un correspondant, relèveraient des formalités de déclaration prévues par les articles 22 à 24 de la loi du 6 janvier 1978 susvisée."

Enfin, l'article 48 de ce même décret définit le contenu du Registre :

"La liste précise, pour chacun des traitements automatisés :

 1° Les nom et adresse du responsable du traitement et, le cas échéant, de son représentant ;

2° La ou les finalités de traitement ;

3° Le ou les services chargés de le mettre en oeuvre ;

4° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès et de rectification ainsi que leurs coordonnées ;

5° Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;

6° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

7° La durée de conservation des données traitées."

Autres impératifs quant à la gestion du Registre

Gestion des versions et transparence

Cet article 48 définit également

  • le délai de réalisation du Registre ("dans les trois mois de la désignation du Correspondant"),
  • le principe de gestion des versions et de documentation ("La liste est actualisée en cas de modification substantielle des traitements en cause. Elle comporte la date et l’objet de ces mises à jour au cours des trois dernières années. "), et
  • rappelle le principe de transparence : "Le correspondant tient la liste à la disposition de toute personne qui en fait la demande."

Sécurité du Registre : inviolabilité et foliotage

La jurisprudence a eu l'occasion de rappeler qu'un traitement non déclaré est nul en droit, qu'il n'a pas d'existence légale.

Dans le "mode classique" des Déclarations à la CNIL, la preuve de la déclaration est apportée par le récépissé de la CNIL - vérifiable auprès de cette dernière en cas de soupçon de faux.

En "mode CIL", la preuve de la déclaration doit pouvoir être apportée de la manière la plus fiable possible: à l'évidence, une simple ligne d'un tableur, indiquant "Caméras contre le vol : installée le 2/2/2008", ne garantit pas que cette ligne n'a pas été post-datée. De même, il est trop facile de modifier la date d'un ordinateur et d'un fichier pdf pour que ces éléments constituent des preuves solides.

Le CIL doit donc mettre en place des solutions d'horodatage intangible des fiches: enregistrement dans un coffre-fort numérique, envoi des fiches à un serveur de messagerie externe, horodatage et signature de la base de données par un tiers... sont des solutions fiables.

De même, toute solution garantissant l'absence de "trous" de numérotation favorise la confiance dans la continuité du Registre - ce foliotage est mis en oeuvre depuis fort longtemps dans les Registres d'état-civil et en comptabilité.

Limites de la définition de base

La plupart des CILs ressentent rapidement le besoin d'étendre le Registre de base pour s'en servir comme outil de gestion de la conformité: au-delà de la simple tenue du Registre, l'article 49 du décret de 2005 charge le CIL de "veille(r) au respect des obligations prévues par la loi du 6 janvier 1978 susvisée pour les traitements au titre desquels il a été désigné.".

Il est donc nécessaire de vérifier et de documenter le respect des obligations de proportionnalité, de transparence, de sécurité... définies par la loi.

Autres données utiles dans un Registre

Ces données ne sont pas obligatoires dans le Registre - le CIL doit cependant réfléchir à les inclure dans son outil de suivi de la conformité, sans pour autant les publier.

  • Données transmises Hors UE: un tel transfert doit être indiqué aux personnes lors de la collecte des données (article 32 de la loi); il est donc raisonnable de le tracer dans le Registre.
  • N° CNIL: si le traitement a été déclaré à la CNIL antérieurement à la désignation du CIL, il semble conforme au principe de transparence de l'indiquer aux lecteurs du Registre. De même, le CIL peut souhaiter disposer de la Déclaration et du récépissé originels, par exemple au format pdf; certains CILs décident même de publier ces informations.
  • Type de formalité: le CIL peut souhaiter noter la formalité qui aurait été applicable en "mode classique": dispense, déclaration selon une norme simplifiée, déclaration normale: les normes de la CNIL comportent des indications sur la mise en oeuvre courante de tels traitements, la durée de conservation des données... et indiquent le niveau usuel de risque pour les personnes.
  • Suivi des obligations de sécurité, de durée de conservation, d'inscription des mentions légales...: le CIL peut noter le statut de ces chantiers de mise en conformité, les tâches restant à réaliser, le résultat d'audits de sécurité...
  • Evaluation du risque: les entreprises conduisant une approche d'évaluation et de maîtrise des risques souhaitent généralement noter cette évaluation pour chaque Traitement.
  • Traitements faisant l'objet d'une Autorisation: même si les textes n'imposent pas d'inscrire ces traitements au Registre du CIL, le bon sens conseille de centraliser l'ensemble des traitements de l'organisme en un seul lieu.
  • Enfin, le nom des applications mises en oeuvre est souvent utile pour communiquer avec les responsables opérationnels des traitements.

Notes

Comment décrire les données traitées ?

Les textes parlent de "Catégories de données" et "Catégories de destinataires": il n'y a aucune obligation de reprendre les catégories présentes sur les formulaires de Déclaration de la CNIL, souvent inadaptées aux métiers de l'organisation dont le CIL s'occupe.

Le Décret n'impose que la description des catégories de données : on peut dès lors ne porter au Registre que les indications sans détail "données d'identité basiques", "coordonnées professionnelles" ou "éléments contractuels"; toutefois il est conseillé de documenter le détail des champs, au moins en interne, afin de tracer les modification substantielles de ces données et de mettre le Registre à jour dans ce cas.

Le Registre doit-il comporter les traitements "papier" ?

L'article 47 dispose que la liste ne concerne que "les traitements automatisés mis en oeuvre", qui en l'absence de Correspondant serait soumis à Déclaration. Seuls les traitements automatisés sont soumis à Déclaration - et donc au Registre lors de la désignation du CIL.

  • 3F
  • Alptis
  • ADREA
  • ATEN
  • Bosch
  • British Telecom
  • CE Ile de France
  • CCI Morbihan
  • CG Calvados, Seine-Maritime...
  • c-m-a
  • CNCC
  • Collège de France
  • Conseils Régionaux
  • Eiffage
  • EADS
  • ESSEC
  • Groupe Casino
  • Galeries Lafayette
  • ividence
  • Mutuelle.fr
  • Paris Habitat
  • Universités
  • UDAF 42
  • URSSAF 83
  • Vinci Energies
Membre de l'AFCDP
Membre de l'IAPP
Membre fondateur de Privacy Europe