Cartographie du registre des activités de traitement de la CNIL (décembre 2019)

(Cet article est paru initialement le mercredi 04/12/2019 sur l’ancien Blog)

La CNIL a rendu public son registre des activités de traitements : l’occasion de voir comment l’autorité française s’applique à elle-même le Règlement Européen sur les Données Personnelles (RGPD / GDPR) !

Registre des activités de traitement de la CNIL, déc. 2019

Traitements métiers vs traitements courants

Premier constat dans le registre des activités traitements de la CNIL : une grande liberté par rapport aux anciennes Dispenses, Normes Simplifiées et autres Autorisations Unique de l’avant RGPD !

Cela se traduit concrètement par 3 “méta-traitements” purement métiers (1 à 3) et 7 “méta-traitements” (4 à 10) beaucoup plus courants, que l’on pourra retrouver sous une forme à peine modifiée chez la plupart des Responsables des Traitements.

Les 3 “méta-traitements” métiers de la CNIL :

  • Gestion des demandes des usagers de la CNIL
  • Contrôles - Sanctions - Contentieux
  • Études - Prospective - Partenariats

Les 7 “méta-traitements” qui pourraient être facilement transposés ailleurs (i.e. pas copiés tels quels):

  • Communication - Interventions - Évènements
  • Gestion documentaire - Information interne
  • Ressources humaines
  • Conformité - Risques
  • Informatique et télécoms
  • Marchés - Finance - Logistique
  • Fonctionnement courant des services

Quid des responsables conjoints de traitements?

Si en tant que DPO externalisé je me suis bien entendu intéressé en priorité au traitement 7.1 (Gestion des demandes adressées au délégué à la protection des données de la CNIL), je suis un peu resté sur ma faim concernant le traitement 4.5 (Gestion des comptes de réseaux sociaux de la CNIL)…

En effet, je me suis rendu compte à cette occasion que la notion de “responsable(s) conjoint(s)” n’apparaissait pas sur les fiches de registres (contrairement au modèle de registre simplifié de la CNIL, onglet “Modele_de_fiche_de_registre”, case A14).

Or les réseaux sociaux ont leurs propres finalités dans les traitements de données personnelles de leurs membres, au-delà des seuls traitements de la CNIL décrits dans le registre…

C’est flagrant quand un bouton “J’aime” d’un réseau social est inséré dans une page Web, mais cela concernerait aussi la simple administration d’une page Facebook, comme l’explique en détail l’article de synthèse suivant : Faut-il avoir peur de la qualification de responsable conjoint du traitement de données ?

Peut-être la CNIL a-t-elle jugé prématuré de se positionner sur le sujet?

Des mesures de sécurité techniques et organisationnelles décrites de façon sibyllines

La sécurisation des données personnelles des personnes concernées constitue un point majeur du RGPD.

Dans le registre CNIL, elles se résument presque toujours à ce paragraphe: “Les mesures de sécurité sont mises en œuvre conformément à la politique de sécurité des systèmes d’information (PSSI) de la CNIL, issue de la PSSI de l’Etat”

Parfois les paragraphes suivants sont rajoutés:

“Les sociétés commercialisant les dispositifs utilisés dans le cadre des expérimentations demeurent responsables de la sécurité des données transmises automatiquement vers leurs serveurs et autres équipements.” Activité 3.5 – Laboratoire d’innovation numérique – LINC (volet expérimental)

“En particulier, les courriers électroniques sont réceptionnés par le système de messagerie de la CNIL, sécurisé conformément au référentiel général de sécurité (RGS).” Activité 4.4 - Gestion des demandes reçues via presse@cnil.fr

“Les mesures de sécurité relatives à la gestion des données permettant la production de statistiques anonymes sont définies par le responsable de chaque plateforme.” Activité 4.5 - Gestion des comptes de réseaux sociaux de la CNIL

“et aux règles spécifiques définies par les textes applicables en matière de protection du secret de la défense nationale” Activité 7.2 - Protection du secret de la défense nationale

Une seule fois elle se présent de façon différente du paragraphe “générique” sur la PSSI:

“Les données relatives à un appelant sont conservées par le cabinet ELEAS un an à compter du dernier appel de cette personne. Les mesures de sécurité sont mises en œuvre conformément à la politique de sécurité des systèmes d’information du Cabinet ELEAS.” Activité 6.11 - Dispositif d’écoute et de soutien psychologique en direction des personnels

J’en déduit qu’au niveau opérationnel, il vaut mieux décrire de façon détaillée la PSSI d’un organisme dans un document séparé, et y faire simplement référence dans le registre.

Quoiqu’il en soit, cela donne une bonne idée des attentes de la CNIL concernant le formalisme du registre des traitements - et comme je le dis souvent, la cartographie des traitements de données personnelles donne souvent une meilleure vision du fonctionnement d’un organisme que les traditionnels organigrammes…

Written on April 9, 2020