Lors de l’entrée en vigueur du RGPD le 25 mai 2018, de nombreuses entreprises seront obligées de tenir un registre de toutes les activités de traitement qui ont lieu sous leur responsabilité. Cette obligation de documentation remplacera l’obligation de notification à la Commission Privacy.

1. A qui cette obligation de registre s’applique-t-elle?

L’obligation d’établir un registre des activités de traitement s’applique:

1. Aux entreprises occupant 250 travailleurs ou plus;
2. Aux entreprises effectuant des traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées;
3. Aux entreprises qui traitent des données sensibles (données qui révèlent l’origine raciale ou ethnique, les ;
4. Aux entreprises qui traitent des données à caractère personnel de manière non occasionnelle.

Pour cette dernière catégorie, la question se pose de savoir ce qu’il convient de comprendre par traitement « non occasionnel » de données à caractère personnel. Une interprétation large de ce terme pourrait avoir pour conséquence que pratiquement toutes les entreprises ont l’obligation de tenir un registre, puisqu’une entreprise employant des travailleurs traite de manière non occasionnelle des données à caractère personnel. Il suffit de songer aux traitements des données dans le cadre de la politique de rémunération ou du personnel.

Compte tenu de cette incertitude, nous avons souhaité connaître la position de la Commission Privacy à ce sujet. La Commission Privacy semble distinguer d’une part, les traitements pour lesquels il existe aujourd’hui une obligation de notification à la Commission, et d’autre part, les traitements pouvant être exemptés de cette obligation sur base de la législation belge actuelle. Un certain nombre de traitements de données très courants, tels que l’administration de la rémunération et du personnel, bénéficient de ce régime d’exemption. Toutefois, les traitements dans le cadre de l’administration du personnel qui concernent des données relatives à la santé, des données sensibles ou judiciaires, ou des données qui ont pour objectif une évaluation ne bénéficient pas de ce régime d’exemption. Les évaluations d’un travailleur et les données concernant la préparation de ces évaluations peuvent être considérées comme relevant de cette dernière catégorie. Ces données sont considérées comme suffisamment sensibles pour les soumettre à l’obligation de notification.

La Commission Privacy est d’opinion que seuls les traitements bénéficiant actuellement de l’exemption de l’obligation de notification, ne représentent aucun danger de violation de la vie privée de la personne concernée. Sur base de cette position, nous pourrions nous attendre, par analogie avec les exemptions actuelles à l’obligation de notification, à ce que le législateur belge exempte ces traitements ayant lieu dans le cadre de l’administration de la rémunération et du personnel de l’obligation de tenir un registre (pour autant que l’entreprise compte moins de 250 travailleurs).

Indépendamment du fait qu’une entreprise doive ou non tenir un registre en vertu de la réglementation applicable, chaque employeur a, selon nous, intérêt à établir un registre compte tenu du « principe de responsabilité » du responsable du traitement.
 

2. De quoi s’agit-il ?

Toutes les activités de traitement effectuées sous la responsabilité de l’entreprise doivent être reprises dans un registre écrit ou électronique.

Ce registre doit obligatoirement comporter les mentions suivantes :

• le nom et les coordonnées du/des responsable(s) du traitement et, le cas échéant, du représentant du responsable du traitement et du délégué à la protection des données (« data protection officer »);
• les finalités du traitement;
• une description des catégories de personnes concernées et des catégories de données à caractère personnel;
• les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ;
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, le cas échéant, les documents attestant de l'existence de garanties appropriées;
• dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
   

3. Suppression de l’obligation de notification à la Commission Privacy

Actuellement, les entreprises ont l’obligation de notifier à la Commission Privacy, préalablement, tous les traitements de données entièrement ou partiellement automatisés. Cette obligation de notification implique aujourd’hui une charge administrative importante au sein des entreprises. Elle prendra fin à partir du 25 mai 2018. En effet, à partir de l’entrée en vigueur du RGPD, l’obligation de notification sera abolie et remplacée par l’obligation de documentation susmentionnée.

Le registre, qui remplace l’obligation de notification, devra pouvoir être soumis à la Commission Privacy à sa demande, afin qu’elle puisse maintenir un contrôle des activités de traitement.