Définition

L'article 22 III de la loi, révisée en 2004, confie au Correspondant la tâche de "tenir une liste des traitements effectués immédiatement accessible à toute personne en faisant la demande".

Cette "liste des traitements" est définie par la directive sous le nom de Registre - cette dénomination s'est rapidement imposée.

L'article 47 du décret du 20 octobre 2005 rappelle cette obligation de tenue d'une liste des traitements, et fournit une indication d'organisation : "Le responsable des traitements fournit au correspondant tous les éléments lui permettant d’établir et d’actualiser régulièrement une liste des traitements automatisés mis en oeuvre au sein de l’établissement, du service ou de l’organisme au sein duquel il a été désigné (...)".

Cet article 47 dispense également les traitements figurant au Registre des déclarations "classiques" auprès de la CNIL: "(traitements) qui, à défaut de désignation d’un correspondant, relèveraient des formalités de déclaration prévues par les articles 22 à 24 de la loi du 6 janvier 1978 susvisée."

Enfin, l'article 48 de ce même décret définit le contenu du Registre :

"La liste précise, pour chacun des traitements automatisés :

 1° Les nom et adresse du responsable du traitement et, le cas échéant, de son représentant ;

2° La ou les finalités de traitement ;

3° Le ou les services chargés de le mettre en oeuvre ;

4° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès et de rectification ainsi que leurs coordonnées ;

5° Une description des catégories de données traitées, ainsi que les catégories de personnes concernées par le traitement ;

6° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

7° La durée de conservation des données traitées."

Autres impératifs quant à la gestion du Registre

Gestion des versions et transparence

Cet article 48 définit également

Sécurité du Registre : inviolabilité et foliotage

La jurisprudence a eu l'occasion de rappeler qu'un traitement non déclaré est nul en droit, qu'il n'a pas d'existence légale.

Dans le "mode classique" des Déclarations à la CNIL, la preuve de la déclaration est apportée par le récépissé de la CNIL - vérifiable auprès de cette dernière en cas de soupçon de faux.

En "mode CIL", la preuve de la déclaration doit pouvoir être apportée de la manière la plus fiable possible: à l'évidence, une simple ligne d'un tableur, indiquant "Caméras contre le vol : installée le 2/2/2008", ne garantit pas que cette ligne n'a pas été post-datée. De même, il est trop facile de modifier la date d'un ordinateur et d'un fichier pdf pour que ces éléments constituent des preuves solides.

Le CIL doit donc mettre en place des solutions d'horodatage intangible des fiches: enregistrement dans un coffre-fort numérique, envoi des fiches à un serveur de messagerie externe, horodatage et signature de la base de données par un tiers... sont des solutions fiables.

De même, toute solution garantissant l'absence de "trous" de numérotation favorise la confiance dans la continuité du Registre - ce foliotage est mis en oeuvre depuis fort longtemps dans les Registres d'état-civil et en comptabilité.

Limites de la définition de base

La plupart des CILs ressentent rapidement le besoin d'étendre le Registre de base pour s'en servir comme outil de gestion de la conformité: au-delà de la simple tenue du Registre, l'article 49 du décret de 2005 charge le CIL de "veille(r) au respect des obligations prévues par la loi du 6 janvier 1978 susvisée pour les traitements au titre desquels il a été désigné.".

Il est donc nécessaire de vérifier et de documenter le respect des obligations de proportionnalité, de transparence, de sécurité... définies par la loi.

Autres données utiles dans un Registre

Ces données ne sont pas obligatoires dans le Registre - le CIL doit cependant réfléchir à les inclure dans son outil de suivi de la conformité, sans pour autant les publier.

Notes

Comment décrire les données traitées ?

Les textes parlent de "Catégories de données" et "Catégories de destinataires": il n'y a aucune obligation de reprendre les catégories présentes sur les formulaires de Déclaration de la CNIL, souvent inadaptées aux métiers de l'organisation dont le CIL s'occupe.

Le Décret n'impose que la description des catégories de données : on peut dès lors ne porter au Registre que les indications sans détail "données d'identité basiques", "coordonnées professionnelles" ou "éléments contractuels"; toutefois il est conseillé de documenter le détail des champs, au moins en interne, afin de tracer les modification substantielles de ces données et de mettre le Registre à jour dans ce cas.

Le Registre doit-il comporter les traitements "papier" ?

L'article 47 dispose que la liste ne concerne que "les traitements automatisés mis en oeuvre", qui en l'absence de Correspondant serait soumis à Déclaration. Seuls les traitements automatisés sont soumis à Déclaration - et donc au Registre lors de la désignation du CIL.