Document connexe à celui-ci Généré avec GPT 4o
Le registre de traitement des données est un outil essentiel pour les chercheurs, leur permettant de documenter de manière transparente et conforme la gestion des données personnelles dans leurs projets. Ce guide répond aux principales questions que vous pourriez avoir en tant que chercheur.
La CNIL offre deux modèles de ce document
1. Qu’est-ce que le registre de traitement des données ?
Le registre de traitement des données est un document obligatoire pour toute organisation traitant des données personnelles. Il permet de recenser les traitements de données, en précisant leurs finalités, les catégories de données traitées, les destinataires des données, et les mesures de sécurité mises en place.
2. Pourquoi est-il important de tenir un registre ?
Tenir un registre permet :
- De se conformer aux exigences du RGPD (Règlement Général sur la Protection des Données).
- D’assurer la transparence vis-à-vis des participants à la recherche.
- De faciliter le contrôle de la CNIL (Commission Nationale de l’Informatique et des Libertés) en cas de vérification.
3. Qui doit tenir un registre de traitement des données ?
Tout organisme, public ou privé, qui collecte ou traite des données personnelles doit tenir un registre de traitement des données. Pour les chercheurs, cela inclut les universités, laboratoires de recherche, centres de santé, etc.
4. Quelles informations doivent figurer dans le registre ?
Le registre doit contenir les informations suivantes :
- Nom et coordonnées du responsable de traitement : Qui est responsable du traitement des données dans le projet ?
- Finalités du traitement : Pourquoi ces données sont-elles collectées ? Quel est l’objectif ?
- Catégories de données : Quelles données personnelles sont collectées ?
- Catégories de personnes concernées : Qui est concerné par cette collecte de données (patients, participants, étudiants, etc.) ?
- Destinataires des données : Qui aura accès aux données ?
- Durée de conservation : Combien de temps les données seront-elles conservées ?
- Mesures de sécurité : Quelles protections sont mises en place pour sécuriser les données ?
- Transferts de données : Les données seront-elles transférées hors de l’UE ? Si oui, quelles garanties sont mises en place ?
5. Comment mettre à jour le registre ?
Le registre doit être régulièrement mis à jour pour refléter tout changement dans le traitement des données. Toute modification significative dans les finalités, les catégories de données, les destinataires, ou les mesures de sécurité doit être documentée.
6. Quelles sont les sanctions en cas de non-respect ?
En cas de non-respect des obligations de tenue du registre, des sanctions peuvent être imposées par la CNIL, allant de simples avertissements à des amendes pouvant atteindre 4 % du chiffre d’affaires annuel mondial de l’organisation concernée.
7. Où et comment conserver le registre ?
Le registre peut être conservé sous forme papier ou électronique, tant qu’il est facilement accessible pour les autorités de contrôle en cas de besoin. Il doit être stocké dans un lieu sécurisé et être disponible pour consultation par les personnes autorisées.
8. Qui est responsable de la gestion du registre ?
Le responsable du traitement est généralement chargé de la gestion du registre. Cependant, dans les grandes organisations, cette tâche peut être déléguée à un délégué à la protection des données (DPO) ou à un autre responsable désigné.
9. Le registre est-il public ?
Le registre n’est pas nécessairement public, mais il doit être mis à disposition de la CNIL en cas de demande. Les chercheurs doivent également être prêts à fournir des informations sur le traitement des données aux participants si ces derniers en font la demande.