En vertu de la nouvelle réglementation européenne sur la protection des données (GDPR), les responsables de traitement et les sous-traitants doivent tenir un registre de leurs activités de traitement (article 30 du GDPR).
Toutefois, leurs obligations diffèrent en fonction de leurs activités et le contenu du registre est différent selon qu’ils sont un responsable de traitement ou un sous-traitant.
1. Quand faut-il tenir un registre des activités de traitement de données ?

Les responsables de traitement ou les sous-traitants doivent tenir un registre de leurs activités de traitement lorsqu’ils remplissent l’une des conditions suivantes:

  •  Ils emploient plus de 250 employés
  •  Ils mettent oeuvre des activités de traitement susceptibles de présenter un risque élevé pour les droits et les libertés des individus
  •  Leurs activités de traitement ne sont pas occasionnelles
  •  Leurs activités de traitement consistent à traiter des données sensibles (par exemple, des données sur la santé, etc.) ou des données relatives aux condamnations pénales

Si l’une des conditions susmentionnées est remplie, la personne qui traite les données à caractère personnel doit tenir un registre de ses activités de traitement.

2. Quelles informations doivent figurer dans le registre ?

Le contenu du registre varie selon qu’il concerne les activités d’un responsable de traitement ou d’un sous-traitant.

2.1. Contentu du registre des responsables de traitement

Lorsque le responsable de traitement doit tenir un registre des activités de traitement, ce dernier doit contenir les informations suivantes:

  •    Nom et coordonnées du responsable de traitement, du responsable de traitement conjoint, du représentant du responsable de traitement et du responsable de la protection des données
  •    Les objectifs du traitement
  •    Description des catégories de personnes concernées et des catégories de données à caractère personnel
  •    Les catégories de destinataires des données à caractère personnel
  •   Transfert de données à caractère personnel vers un pays tiers ou organisation internationale et documentation des garanties appropriées
  •    Durée de conservation de chaque catégorie de données
  •   Description générale des mesures de sécurité mises en œuvre
2.2. Contenu du registre des sous-traitants

Dès lors qu’il remplissent l’une des conditions susmentionnées, les sous-traitants doivent également tenir un registre des activités réalisées pour le compte du responsable du traitement.

Le registre doit contenir les renseignements suivants:

  •  Coordonnées du sous-traitant et de chaque responsable de traitement, de leur représentant et de l’agent de protection des données respectifs
  •   Catégories de traitement effectuées pour le compte de chaque responsable de traitement
  • Description des mesures de sécurité mises en œuvre
Remarque:

Il est tout à fait possible qu’un sous-traitant doivent tenir un registre de sous-traitant pour les traitements de données qu’il met en oeuvre pour le compte de tiers et un registre de responsable de traitement pour les traitements de données qu’il met en oeuvre pour son propre compte.

Ce article est également disponible en en_GB.

Partage

Registre des traitements de données personnelles
Étiqueté avec :            

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *