1. Qu'est-ce que le registre ?
Le registre de traitement des données à caractère personnel (DCP) est un document qui permet le recensement et l'analyse des données personnelles traitées au sein d'un établissement. Ce registre constitue non seulement un outil de pilotage mais également de présentation de la mise en conformité au RGPD.
Il permet d'identifier les risques encourus et de prioriser les mesures à prendre tant organisationnelles que techniques pour garantir la protection des données confiées. La priorité de ces mesures se fera au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées.
Le format du registre est libre ; la seule contrainte est qu'il doit se présenter sous une forme écrite (au format papier ou électronique).
Toute modification des conditions de mise en oeuvre du traitement doit être portée au registre (collecte d'une nouvelle donnée, allongement de la conservation, nouveau destinataire, etc.).
2. Comment constituer le registre ?
Recenser |
|
---|---|
Lister |
|
Analyser |
|
3. Quelles sont les différentes composantes de la fiche de traitement ?
Le registre recense l'ensemble des traitements mis en oeuvre dans l'établissement. Une fiche de registre doit donc être établie pour chacune des activités d'ordre pédagogique ou administratif.
Pour chaque activité de traitement, la fiche de registre doit comporter au moins les éléments suivants :
- Le nom et les coordonnées du responsable de la mise en oeuvre du traitement
- Les finalités du traitement, l'objectif en vue duquel les données sont collectées
- Les catégories de personnes concernées (élèves, enseignants, responsables légaux, associations partenaires, personnels de la collectivité, etc.)
- Les catégories de DCP (données d'état civil, numéro de téléphone, adresse mail, photographie, date de naissance, voix, etc.)
- Les catégories de destinataires auxquels les DCP ont été ou seront communiquées (collectivités territoriales, associations de parents d'élèves, responsables légaux, service ou apllication numérique, association partenaire, etc.)
- Les transferts de DCP vers un pays ou à une organisation internationale
- La durée de conservation des données
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mis en oeuvre.
4. A qui communiquer le registre ?
Le registre est un document interne et évolutif dont l'objectif est avant tout d'aider le chef d'établissement à piloter la mise en conformité. Le registre est un document administratif communicable à tous, au sens du codes des relations entre le public et l'administration. La CNIL peut demander à consulter le registre dans le cadre de sa mission de contrôle des traitements de données. En tant qu'organisme public, l'établissement scolaire est tenu de communiquer le registre à toute personne qui en fait la demande. Toutefois, le registre communiqué doit être occulté de toute information dont la divulgation pourrait en particulier porter atteinte aux secrets par la loi, et notamment à la sécurité des systèmes d'information.
Pour aller plus loin : Communication des documents administratifs
5. Quelles sont les bonnes pratiques ?
Pour que le registre devienne un vrai outil de pilotage, il doit être enrichi d'informations complémentaires. La base légale du traitement, l'origine des données, les droits qui s'appliquent au traitement, etc., vous permettront de rédiger vos mentions d'informations. Vous pouvez également indiquer dans le registre un historique des violations de données et recenser tous les documents liés aux sous-traitants auxquels vous recourez (contrats de sous-traitance)
Mise à jour : janvier 2022